当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048160

漏洞标题:优酷某分站SQL注入漏洞

相关厂商:优酷

漏洞作者: 齐迹

提交时间:2014-01-07 14:48

修复时间:2014-02-21 14:49

公开时间:2014-02-21 14:49

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-07: 细节已通知厂商并且等待厂商处理中
2014-01-07: 厂商已经确认,细节仅向厂商公开
2014-01-17: 细节向核心白帽子及相关领域专家公开
2014-01-27: 细节向普通白帽子公开
2014-02-06: 细节向实习白帽子公开
2014-02-21: 细节向公众公开

简要描述:

分站注入

详细说明:

问题发生在
http://event.youku.com/pizzahut/student/index.php?id=76&cid=
加个单引号直接显错。。肯定有问题。

漏洞证明:

Database: test
[122 tables]
+---------------------------------------+
| cruze |
| my_lee |
| tb_access |
| tb_admin |
| tb_bilateral |
| tb_form |
| tb_gift |
| tb_group |
| tb_lottery |
| tb_node |
| tb_poll |
| tb_role |
| tb_role_admin |
| tb_score_history |
| tb_setting |
| tb_share_log |
| tb_user |
| tb_user_info_00 |
| tb_user_info_01 |
| tb_user_info_02 |
| tb_user_info_03 |
| tb_user_info_04 |
| tb_user_info_05 |
| tb_user_info_06 |
| tb_user_info_07 |
| tb_user_info_08 |
| tb_user_info_09 |
| tb_user_info_10 |
| tb_user_info_11 |
| tb_user_info_12 |
| tb_user_info_13 |
| tb_user_info_14 |
| tb_user_info_15 |
| tb_user_info_16 |
| tb_user_info_17 |
| tb_user_info_18 |
| tb_user_info_19 |
| tb_user_info_20 |
| tb_user_info_21 |
| tb_user_info_22 |
| tb_user_info_23 |
| tb_user_info_24 |
| tb_user_info_25 |
| tb_user_info_26 |
| tb_user_info_27 |
| tb_user_info_28 |
| tb_user_info_29 |
| tb_user_info_30 |
| tb_user_info_31 |
| tb_user_info_32 |
| tb_user_info_33 |
| tb_user_info_34 |
| tb_user_info_35 |
| tb_user_info_36 |
| tb_user_info_37 |
| tb_user_info_38 |
| tb_user_info_39 |
| tb_user_info_40 |
| tb_user_info_41 |
| tb_user_info_42 |
| tb_user_info_43 |
| tb_user_info_44 |
| tb_user_info_45 |
| tb_user_info_46 |
| tb_user_info_47 |
| tb_user_info_48 |
| tb_user_info_49 |
| tb_user_info_50 |
| tb_user_info_51 |
| tb_user_info_52 |
| tb_user_info_53 |
| tb_user_info_54 |
| tb_user_info_55 |
| tb_user_info_56 |
| tb_user_info_57 |
| tb_user_info_58 |
| tb_user_info_59 |
| tb_user_info_60 |
| tb_user_info_61 |
| tb_user_info_62 |
| tb_user_info_63 |
| tb_user_info_64 |
| tb_user_info_65 |
| tb_user_info_66 |
| tb_user_info_67 |
| tb_user_info_68 |
| tb_user_info_69 |
| tb_user_info_70 |
| tb_user_info_71 |
| tb_user_info_72 |
| tb_user_info_73 |
| tb_user_info_74 |
| tb_user_info_75 |
| tb_user_info_76 |
| tb_user_info_77 |
| tb_user_info_78 |
| tb_user_info_79 |
| tb_user_info_80 |
| tb_user_info_81 |
| tb_user_info_82 |
| tb_user_info_83 |
| tb_user_info_84 |
| tb_user_info_85 |
| tb_user_info_86 |
| tb_user_info_87 |
| tb_user_info_88 |
| tb_user_info_89 |
| tb_user_info_90 |
| tb_user_info_91 |
| tb_user_info_92 |
| tb_user_info_93 |
| tb_user_info_94 |
| tb_user_info_95 |
| tb_user_info_96 |
| tb_user_info_97 |
| tb_user_info_98 |
| tb_user_info_99 |
| tb_user_info_history |
| tb_visit_log |
| tb_vote |
| tb_vote_log |
| tb_works |
+---------------------------------------+
Database: sh_pizzahut
[3 tables]
+---------------------------------------+
| tb_answer |
| tb_question |
| tb_users |
+---------------------------------------+

修复方案:

过滤

版权声明:转载请注明来源 齐迹@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-01-07 15:05

厂商回复:

多谢提醒,马上修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-01-07 15:07 | nauscript ( 普通白帽子 | Rank:291 漏洞数:57 | 我淫荡啊我淫荡)

    齐迹哥哥 闪亮登场~~~