当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063118

漏洞标题:顽石互动官网存在SQL注射漏洞

相关厂商:顽石互动

漏洞作者: 风卷

提交时间:2014-06-10 17:50

修复时间:2014-07-25 17:52

公开时间:2014-07-25 17:52

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-07-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

多出存在SQL注射漏洞,还有弱爆的后台

详细说明:

无聊之中看到这个游戏,随机跑到官网看看游戏的风格,看似还可以的样子,随便点了链接观赏起来,但看到是PHP语言时还是然不住手贱了一下,发现存在SQL漏洞,而且没有任何的过滤,直接爆出管理账号密码。


http://wistone.com/news.php?year=2013

20140601163652.jpg

漏洞证明:

20140601164804.jpg

20140601163428.jpg

20140601164033.jpg

20140601163927.jpg


出现了可爱的账号密码,跑去解密,当时就悲催了,解不了,谷歌了下,也无果。解密码也只是早晚的事情,随即去猜后台。


20140601163652.jpg


http://wistone.com/administrator/

然后猜了一下后台,出现了可爱的画面。到此就不继续搞下去了,原意只是为了检测一下是否存在漏洞。

修复方案:

不想游戏网站也存在这么严重的漏洞,没有对语言的语法的过滤。还有后台目录太过简单.修复你们懂得。

版权声明:转载请注明来源 风卷@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2014-06-24 16:08 | 风卷 ( 路人 | Rank:0 漏洞数:1 | 葫芦娃葫芦娃)

    玩蛋,漏洞都补了,怎么通过。