漏洞概要
关注数(24)
关注此漏洞
漏洞标题:88box某處SQL注入(8庫涉及至少40萬+的用戶信息)
提交时间:2015-07-01 13:32
修复时间:2015-08-17 11:30
公开时间:2015-08-17 11:30
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理
Tags标签:
无
漏洞详情
披露状态:
2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-03: 厂商已经确认,细节仅向厂商公开
2015-07-13: 细节向核心白帽子及相关领域专家公开
2015-07-23: 细节向普通白帽子公开
2015-08-02: 细节向实习白帽子公开
2015-08-17: 细节向公众公开
简要描述:
跑用戶信息數量用了快一天 只為了能上一次首頁 我也是醉了
详细说明:
POST數據包:
URL處 可注入(8庫)
跑了下 88box_platform 的數據庫 有 202 張表
具體的我就沒跑完了 看見了一個 user 的表 就跑了下 這個表的數量 328631 涉及用戶賬號 密碼 郵箱 密保問題 答案等
順便也看了下 88box_thai 數據庫的數量(7萬+的用戶信息)
數據庫 88box_platfrom2 等其他數據庫就沒看了 但是也有 user 表 所以已知的至少40萬+的用戶信息可被洩露
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-07-03 11:28
厂商回复:
感謝通報!!
最新状态:
暂无
漏洞评价:
评论
-
2015-07-01 13:58 |
浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)