漏洞概要
关注数(24)
关注此漏洞
漏洞标题:大扑网某个页面的参数post注入
提交时间:2014-12-30 09:50
修复时间:2015-01-04 09:52
公开时间:2015-01-04 09:52
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-12-30: 细节已通知厂商并且等待厂商处理中
2015-01-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
看到有大牛提交了大扑网的,试着点开了,就导出看看,我等最低最低等级的菜鸟发现不了什么漏洞,然后尝试用burpsuite抓包,发现有个参数可以post注入,但是time-based blind跑得太慢了,有时候还会掉,不知道是我插入的方式不对还是这个并不是漏洞,提交出来给大牛看看吧,你们应该比我懂
参考漏洞:http://www.wooyun.org/bugs/wooyun-2010-076448
主要出现在一个参数post注入。
详细说明:
1、注入点:
2、尝试用burpsuite抓包
3、请上神器sqlmap
漏洞证明:
上面说到速度太慢,time-based blind方式,下面给的就是在测试过程中的慢动作了,还请大牛指导,这个算不算漏洞,还是插入的方式不对,或者本身就不存在,只是偶然得知?如果能利用,如何才能更好的利用,也让我等菜鸟好好学习学习!~~~
至于剩下的就不继续了,实在太慢了,有时候还会掉,偶这里的网速也不怎么样,测试过程中也会出现断掉的情况,大牛们如果有方法利用就继续把,到时发出来给菜鸟们看看!~~~
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-01-04 09:52
厂商回复:
最新状态:
暂无
漏洞评价:
评论