漏洞概要
关注数(24)
关注此漏洞
漏洞标题:厦门天天易贷网存在多处SQL注入漏洞
提交时间:2015-04-07 18:46
修复时间:2015-05-22 18:48
公开时间:2015-05-22 18:48
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-04-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
详细说明:
http://www.ed12345.com/product_detail.php?id=565 id注入
http://www.ed12345.com/news_list.php?class_id=50 class_id注入
http://www.ed12345.com/home.php?id=203 id注入
http://www.ed12345.com/product_detail2.php?member_id=203&id=629 member_id和id都有注入
其他位置应该也有注入 请自行排查
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
评论
-
2015-04-08 10:34 |
Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)
-
2015-04-09 18:39 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
http://loudong.360.cn/vul/info/qid/QTVA-2015-211913@xsser目测一样