当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035799

漏洞标题:傲游分站SQL注入可登陆后台(可泄露大量账号)

相关厂商:傲游

漏洞作者: Hxai11

提交时间:2013-09-01 00:29

修复时间:2013-10-16 00:30

公开时间:2013-10-16 00:30

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-01: 细节已通知厂商并且等待厂商处理中
2013-09-01: 厂商已经确认,细节仅向厂商公开
2013-09-11: 细节向核心白帽子及相关领域专家公开
2013-09-21: 细节向普通白帽子公开
2013-10-01: 细节向实习白帽子公开
2013-10-16: 细节向公众公开

简要描述:

SQL注入怪物来了!

详细说明:

注入地址:http://misc.maxthon.cn/mxbrowser_lang/translation.php?lang=id&page=30
由于好像是很多给国外合作用户登录,所以,里面有很多国外友人的邮箱,危害程度可以理解为跨国了,对于APT什么的都有利用价值
不多说上图

O8AJ@)62KKCR1K44Q()X1)L.jpg


6M$Q)$5}R((]_]U{~KK24JY.jpg


BKTBV]VG$4BF2(KICCCS_TE.jpg


7XD_NET}LF76`4~6NB9~)OR.jpg


漏洞证明:

XQ]N9Y@GWP91O8[APLS)9_5.jpg

修复方案:

防注入

版权声明:转载请注明来源 Hxai11@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-09-01 08:47

厂商回复:

感谢提交. 修复中.

最新状态:

2013-09-02:此系统已废弃.


漏洞评价:

评论

  1. 2013-09-01 00:31 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    无影响厂商忽略O(∩_∩)O

  2. 2013-09-01 03:27 | 逝情 ( 实习白帽子 | Rank:36 漏洞数:11 | 自己选择的路,就算跪着也要走完~!)

    表示我只看到大量用户帐号。。。。裤子ING。。。。

  3. 2013-10-16 18:26 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    我会告诉你这是自动生成的么?···我已经进内网了。。。

  4. 2013-10-16 19:17 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @想要减肥的胖纸 鄙视