漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-068415
漏洞标题:百度某分站多处SQL注入
相关厂商:百度
漏洞作者: Jannock
提交时间:2014-07-13 21:13
修复时间:2014-08-27 21:14
公开时间:2014-08-27 21:14
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-13: 细节已通知厂商并且等待厂商处理中
2014-07-13: 厂商已经确认,细节仅向厂商公开
2014-07-23: 细节向核心白帽子及相关领域专家公开
2014-08-02: 细节向普通白帽子公开
2014-08-12: 细节向实习白帽子公开
2014-08-27: 细节向公众公开
简要描述:
百度某分站多处SQL注入
详细说明:
http://datamarket.baidu.com/web/app.html#app/index
数据市场
POST /web/api/ HTTP/1.1
Host: datamarket.baidu.com
appId=2&propertyA=1&propertyB=1&duration=12&method=app%2Famount
API中有多处SQL注入。
测试参数中 appId 存在SQL注入。
请自行测试其它。
漏洞证明:
available databases [2]:
[*] hol********
[*] information_schema
修复方案:
过滤
版权声明:转载请注明来源 Jannock@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-07-13 23:50
厂商回复:
感谢对百度安全的关注及贡献,欢迎继续反馈百度的安全问题
最新状态:
暂无
漏洞评价:
评论
-
DT IN THE HOUSE
-
@zzR Jolin in the house...FUCKing in the house
-
多处.... sql注入..... 百度..
( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])