漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0110808
漏洞标题:新浪微博某分站未授权访问(后台存在SQL注入)
相关厂商:新浪微博
漏洞作者: 紫衣大侠
提交时间:2015-04-28 11:33
修复时间:2015-04-28 11:51
公开时间:2015-04-28 11:51
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-28: 细节已通知厂商并且等待厂商处理中
2015-04-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
存在未授权访问,泄漏API接口信息、SQL注入、DB配置..
详细说明:
url:
http://115.182.70.243/api_list/
未授权访问,可以查看到很多接口、日志等信息,包括redis数据信息等。
日志信息:
redis信息:
同时存在sql注入:
http://115.182.70.243/item/get_detail/?id=7090415575480086581
跑跑表:
泄漏的DB配置:
漏洞证明:
修复方案:
你们懂得~
版权声明:转载请注明来源 紫衣大侠@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-04-28 11:51
厂商回复:
感谢紫衣大侠对新浪安全的关注,该ip并不是新浪的ip,感谢支持
最新状态:
暂无
漏洞评价:
评论
-
@紫衣大侠 唉,我就知道会这样,真不是我们修复的,我看着看着他就访问不了了.
-
@紫衣大侠 而且新浪ip里,历史记录里也的确找不到
-
@Master 别,您还是解释解释吧
-
@Master 最讨厌你这种啥也不知道,还在一旁煽风点火的流氓
-
@Master 我就是因为负责,怕洞主误会,才来评论向洞主解释
( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)