当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132012

漏洞标题:东风日产分站注入一枚#2

相关厂商:东风日产乘用车公司

漏洞作者: 路人甲

提交时间:2015-08-06 10:41

修复时间:2015-08-06 15:47

公开时间:2015-08-06 15:47

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-06: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经确认,细节仅向厂商公开
2015-08-06: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

RT

详细说明:

注入点:http://www.dfmg.com.cn/scn/NewsDetail.aspx?ID=3396
参数:ID
--time-sec 15

界面.png


SQLmap.png

漏洞证明:

表.png


字段.png


修复方案:

.

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-08-06 15:42

厂商回复:

感谢提醒!

最新状态:

2015-08-06:此人涉嫌刷rank,请@疯狗 介入处理。

2015-08-06:正在修复中

漏洞评价:

评论

  1. 2015-08-06 15:53 | Antique ( 路人 | Rank:11 漏洞数:6 | to be sclience)

    @疯狗 这个是另外一个来的不过昨晚太晚弄了贴错另外一个图了。。。。

  2. 2015-08-06 15:54 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    洞主漏洞截图是不是粗心了?

  3. 2015-08-06 15:54 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Antique 哈哈 ,更新下吧,厂商会误解的 :)

  4. 2015-08-06 15:55 | 东风日产乘用车公司(乌云厂商)

    @Antique 请更新一下吧,要不然,真的以为是刷rank。。。

  5. 2015-08-06 16:04 | Antique ( 路人 | Rank:11 漏洞数:6 | to be sclience)

    @疯狗 貌似发出去了不能再重新编辑。。

  6. 2015-08-06 16:14 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @东风日产乘用车公司 哈哈 这个回复乐了

  7. 2015-08-06 17:29 | 东风日产乘用车公司(乌云厂商)

    @牛 小 帅 咋了。。。

  8. 2015-08-06 17:36 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @东风日产乘用车公司 此人涉嫌刷rank,请@疯狗 介入处理 我指的这个嘻嘻 下次我挖你们家的 给高分不 昨天的走小厂商了 好伤心

  9. 2015-08-06 17:59 | 东风日产乘用车公司(乌云厂商)

    @牛 小 帅 给。必须要给。我也是刚接手这个工作。

  10. 2015-08-06 18:24 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @东风日产乘用车公司 好滴 哈哈

  11. 2015-08-06 22:20 | 神笔马良 ( 普通白帽子 | Rank:130 漏洞数:45 | 爱写字的马)

    @东风日产乘用车公司 厂商是新手,但也要上点心啊!首先9个漏洞就误判了2两个,厂商要关注漏洞点及造成原因。其次,就算是重复的漏洞,厂商就直接公开(忽略),想问厂商修复漏洞了吗?

  12. 2015-08-06 23:54 | aNsSe ( 路人 | Rank:0 漏洞数:2 | 独自一人走天下)

    @东风日产乘用车公司 你这不行啊 还没修复就公开了

  13. 2015-08-07 00:03 | Antique ( 路人 | Rank:11 漏洞数:6 | to be sclience)

    其实这个是我的问题。。半夜弄的 图跟注入点不对应。。抱歉。。

  14. 2015-08-07 08:01 | 东风日产乘用车公司(乌云厂商)

    @神笔马良 这个问题我们已经有专人跟进处理了。感谢你的提醒。我们支持如实反映存在的安全问题。谢谢你!

  15. 2015-08-07 08:01 | 东风日产乘用车公司(乌云厂商)

    在这里,我想说明一下,如果在乌云上,有人恶意存在涉嫌刷rank的情况,乌云也不会坐视不理的。我相信乌云是一个公正的安全平台。希望大家携手维护好我们这个安全平台。谢谢。

  16. 2015-08-07 08:02 | 东风日产乘用车公司(乌云厂商)

    @Antique 你也辛苦了!感谢你对东风日产的安全工作的关心和支持。祝您生活愉快!兄弟!

  17. 2015-08-07 08:02 | 东风日产乘用车公司(乌云厂商)

    @aNsSe 漏洞我们已经与相关负责人进行沟通整改。谢谢。

  18. 2015-08-07 09:17 | aNsSe ( 路人 | Rank:0 漏洞数:2 | 独自一人走天下)

    @东风日产乘用车公司 法洛米 好厂商 哈哈 挖洞希望给高分

  19. 2015-08-07 09:30 | Antique ( 路人 | Rank:11 漏洞数:6 | to be sclience)

    @东风日产乘用车公司 产商回复速度好快的 赞

  20. 2015-08-07 10:28 | 东风日产乘用车公司(乌云厂商)

    @aNsSe OK,再接再厉!谢谢兄弟!

  21. 2015-08-07 10:29 | 东风日产乘用车公司(乌云厂商)

    @Antique 那也要看厂商对口人是不是圈内的人。不熟悉业务的话,那也是挺难的。所以啊。。。其实我也是白帽子之一。。。大号就不说了。。。

  22. 2015-08-07 10:36 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @东风日产乘用车公司 大赞

  23. 2015-08-07 10:39 | 东风日产乘用车公司(乌云厂商)

    @牛 小 帅 谢谢兄弟支持。

  24. 2015-08-14 15:29 | 破晓_Vampire ( 路人 | Rank:4 漏洞数:1 | Communication technology)

    学学打码吧

  25. 2015-08-14 16:18 | Antique ( 路人 | Rank:11 漏洞数:6 | to be sclience)

    @破晓_Vampire 哈 在下记住了 抱歉抱歉

  26. 2015-09-06 14:47 | hblf ( 路人 | Rank:14 漏洞数:2 | 甲方安全攻城狮一枚)

    这是东风股份网站的洞,不是东风日产官网啊。不过PV的兄弟态度还是很认真的,赞一个。