当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105909

漏洞标题:亚汇网某系统存在SQL注入漏洞(泄露部分投资者的详细信息)

相关厂商:亚汇网

漏洞作者: 机器猫

提交时间:2015-04-05 14:52

修复时间:2015-05-20 14:54

公开时间:2015-05-20 14:54

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

亚汇网(www.yahui.cc)是上海一拍信息科技有限公司旗下最权威最专业的财经媒体,提供海内外高端金融资讯,紧跟全球经济,锁定外汇黄金投资领域,为广大的投资者提供丰富全面的投资资讯和指导。以权威信息为基础,是众多金融投资者重点关注的网站之一。
亚汇网拥有稳定的用户群,这些都是长期积累而成,幵非短期市场炒作而形成的流动用户。因此非常稳定,潜在影响力极大。亚汇网绝大部分用户年龄在20-45岁之间,高学历群体比重很大,遍布在广州、北京、上海、武汉、成都、重庆、深圳等大城市,属于收入高于中等水平,具有很强的消费能力及高端金融产品投资能力。

详细说明:

亚汇网市场部内部管理系统:http://tools.yahui.cc/
存在SQL注入,用户名使用admin' or '1'='1 密码随意,即可登录

证明1.png

证明2.png

证明3.png

证明4.png

证明5.png

证明6.png

证明7.png

证明8.png

漏洞证明:

亚汇网市场部内部管理系统:http://tools.yahui.cc/
存在SQL注入,用户名使用admin' or '1'='1 密码随意,即可登录

证明1.png

证明2.png

证明3.png

证明4.png

证明5.png

证明6.png

证明7.png

证明8.png

修复方案:

修复SQL注入

版权声明:转载请注明来源 机器猫@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

评论

  1. 2015-05-21 17:23 | Icebreaker ( 路人 | Rank:10 漏洞数:2 | 方向比努力重要,能力比知识重要,健康比成...)

    亚汇网去年是代码任意执行,当时没有提交乌云。-_-!!