漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-064494
漏洞标题:同联科技网吧信息安全管理系统SQL注入导致存储xss
相关厂商:同联科技
漏洞作者: what_news
提交时间:2014-06-11 17:56
修复时间:2014-09-09 17:58
公开时间:2014-09-09 17:58
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-11: 细节已通知厂商并且等待厂商处理中
2014-06-15: 厂商已经确认,细节仅向厂商公开
2014-06-18: 细节向第三方安全合作伙伴开放
2014-08-09: 细节向核心白帽子及相关领域专家公开
2014-08-19: 细节向普通白帽子公开
2014-08-29: 细节向实习白帽子公开
2014-09-09: 细节向公众公开
简要描述:
希望不要重复 我提交两处试试
详细说明:
我也举几个例子吧
第一处万能密码登录
账户名跟密码都是
登录就可以进去了
同理
都提交
账户名跟密码都是
登录就可以进去了
第二处
注册一下用户吧
我注册的是账号
密码
登录进去
访问
当你在主题跟内容处输入
然后提交会发现注入了
发现在是insert注入 两个地方都存在注入
好的
我们先看下
此刻只要两条记录
现在证明此刻是有注入的 默认用户提交留言是不会在前台显示的
主题处输入
内容处输入
第一个字段为1 代表显示此留言 所以等下
记录会显示出来
前台也会有三条记录
由于都没有对参数进行处理 使得存在xss漏洞
案例二也是要注册的
登录 跟刚才一样
主题
内容
案例三
跟上面一样
主题
内容
漏洞证明:
漏洞证明如上
修复方案:
对提交的参数进行处理吧
版权声明:转载请注明来源 what_news@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2014-06-15 22:56
厂商回复:
与wooyun-2014-一并处置。
最新状态:
暂无