朝鲜中央日报旗下SQL注入 | wooyun-2014-069473| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069473

漏洞标题：朝鲜中央日报旗下SQL注入

漏洞作者： Ares

提交时间：2014-07-24 12:21

修复时间：2014-09-07 12:22

公开时间：2014-09-07 12:22

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-24：细节已通知厂商并且等待厂商处理中
2014-07-29：厂商已经确认，细节仅向厂商公开
2014-08-08：细节向核心白帽子及相关领域专家公开
2014-08-18：细节向普通白帽子公开
2014-08-28：细节向实习白帽子公开
2014-09-07：细节向公众公开

简要描述：

我要发XSS估计不给过...>我要发>....
这一天我开始仰望星空，发现，真特么黑。
棒子棒子咚咚锵...

详细说明：

旗下分站SQL注入
——————————————
那么首先。那啥。
这个：cosmopolitan列一个出来。其实还有。相信你们比我更能找。
http://cosmopolitan.joins.com/fashion/?strFCateCd=AAA0
其二：qtv列一个出来。其实也很多。后面数值随便变都行。很多SQL
http://qtv.joins.com/QTVprg/sunNmoon/?proIdx=177

漏洞证明：

列个表段
available databases [4]:
[*] db_qtv
[*] db_qtv_log
[*] information_schema
[*] test
字段有点多。一切尽在图中

修复方案：

>/...\<

版权声明：转载请注明来源 Ares@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-07-29 09:27

厂商回复：

CNVD确认所述情况，目前暂未建立与所述国家地区的处置渠道，暂未列入处置流程。

漏洞评价：

2014-07-24 12:26 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

金正日就此漏洞发表讲话
2014-07-24 13:02 | Debug0man ( 路人 | Rank:8 漏洞数:1 | 叽叽呗呗...)

金正恩就此漏洞发表讲话
2014-07-24 13:43 | 汪哥 ( 路人 | Rank:28 漏洞数:6 )

金正恩就此漏洞发表讲话
2014-07-24 14:04 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

金日成就此漏洞发表讲话
2014-07-24 14:05 | 寻梦 ( 路人 | Rank:2 漏洞数:1 | 简要，是不是够简要呢。)

金正恩就此漏洞发表讲话
2014-07-24 14:57 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

金正日就此漏洞发表讲话
2014-07-24 16:14 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

不要姑父之后，就“不要Ares”发表重要讲话
2014-07-24 16:50 | loli ( 普通白帽子 | Rank:550 漏洞数:52 )

日太远了。。。
2014-07-24 16:56 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群有漂亮妹纸！)

又来
2014-07-24 18:01 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

@xsser我写的不是韩国么。。咋成了朝鲜去了。。@xsser
2014-07-26 19:28 | syjzwjj ( 路人 | Rank:27 漏洞数:3 )

吊炸天的节奏啊
2014-07-29 09:30 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活，亭长放解)

@Ares 因为本来就是韩国的媒体，只不过叫朝鲜中央日报……朝鲜只有中央通讯社……
2014-07-29 17:51 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

@无敌L.t.H 涨知识了
2014-07-30 10:40 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

金正恩就此漏洞发表讲话
2014-07-30 10:41 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@Ares 乱写标题小心……
2014-07-30 17:29 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

@wefgod 嗷。。当时没搞清楚而已。。
2014-09-07 13:34 | 帅爆的小烬烬 ( 路人 | Rank:30 漏洞数:25 | 路上有个漂亮妹子和我搭讪，知道我赶着去挖...)

金正恩就此漏洞发表讲话
2014-09-07 17:02 | MckBug ( 路人 | Rank:2 漏洞数:3 | 无影响厂商忽略)

金正恩就此漏洞发表讲话
2014-09-10 15:49 | T-MAC ( 路人 | Rank:19 漏洞数:2 )

目前暂未建立与所述国家地区的处置渠道，暂未列入处置流程
2014-09-12 14:57 | 人人网(乌云厂商)

射的好远

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069473

漏洞标题：朝鲜中央日报旗下SQL注入

相关厂商：朝鲜中央日报

漏洞作者： Ares

提交时间：2014-07-24 12:21

修复时间：2014-09-07 12:22

公开时间：2014-09-07 12:22

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ares@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069473

漏洞标题：朝鲜中央日报旗下SQL注入

相关厂商：朝鲜中央日报

漏洞作者： Ares

提交时间：2014-07-24 12:21

修复时间：2014-09-07 12:22

公开时间：2014-09-07 12:22

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-069473"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ares@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：