漏洞概要
关注数(24)
关注此漏洞
漏洞标题:网贷网主站存在注入
提交时间:2015-09-24 16:32
修复时间:2015-11-08 16:34
公开时间:2015-11-08 16:34
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-09-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
网贷网(Wangdai.Com)是GZ.COM旗下虚拟资产借贷服务平台,致力于网络资产投资者和理财人搭建快速、便捷、安全、诚信的平台,让网络资产投资者快速变现自己的闲置资产,满足资金需求,又让有闲置资金的理财人得到更好的回报,实现多方共赢。
网贷网,紧随互联网的快速发展,充分挖掘市场所需,利用现代网络创新技术,打造国内首家以网络资产为质押物的网上借贷平台,开创虚拟资产借贷服务平台新局面。
关于GZ.COM
广州名扬信息科技有限公司(GZ.COM)成立于2005年,GZ.com由多家知名风险投资机构投资成立,至今,已在流量直航解决方案、网络品牌(域名)解决方案等领域处于业界领先地位。
详细说明:
找了好半天没找到一个注入,心塞塞
当我快放弃的时候,居然发现http存在注入(Client-ip),嘿嘿,丢sqlmap跑吧,漫长的等待。。。
漏洞证明:


修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
评论
-
2015-09-24 17:01 |
Nelion ( 路人 | Rank:20 漏洞数:7 | 老实,腼腆,潜力股;不谈情,不说爱,只泡...)