当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143585

漏洞标题:移动安全之苏宁某APP云端注入漏洞

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: 路人甲

提交时间:2015-09-28 12:04

修复时间:2015-11-15 17:26

公开时间:2015-11-15 17:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-28: 细节已通知厂商并且等待厂商处理中
2015-10-01: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-10-11: 细节向核心白帽子及相关领域专家公开
2015-10-21: 细节向普通白帽子公开
2015-10-31: 细节向实习白帽子公开
2015-11-15: 细节向公众公开

简要描述:

移动安全之苏宁某app注入漏洞

详细说明:

问题出现在苏宁生活的ios客户端

582EC7B033C6C028DDA4EA298951FDC8.png


抓包

QQ20150926-1@2x.png


存在sql注入

QQ20150926-2@2x.png

漏洞证明:

已证明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-10-01 17:25

厂商回复:

CNVD确认所述漏洞情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-26 14:46 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:122 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    难道是源码泄漏后审计出来的?

  2. 2015-09-26 16:21 | 李旭敏 ( 普通白帽子 | Rank:535 漏洞数:81 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    里面的泄漏的东西不止源码,还有很多好玩的

  3. 2015-09-26 18:15 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:122 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    感觉苏宁已经哭晕在厕所了

  4. 2015-09-28 11:35 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    @子非海绵宝宝 不是的,另外1个客户端

  5. 2015-09-28 11:58 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:122 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @江苏苏宁易购电子商务有限公司 为什么是1rank?

  6. 2015-09-28 11:59 | xsser 认证白帽子 ( 普通白帽子 | Rank:259 漏洞数:19 | 当我又回首一切,这个世界会好吗?)

    苏宁的账号属于恶意给分啊...@疯狗

  7. 2015-09-28 12:08 | king7 ( 普通白帽子 | Rank:612 漏洞数:112 | 一场秋雨一场寒~)

    666 要被治了

  8. 2015-09-28 12:34 | orange ( 普通白帽子 | Rank:202 漏洞数:40 | 2016应届毕业生,求实习工作)

    漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理??

  9. 2015-09-28 13:21 | xy小雨 ( 普通白帽子 | Rank:173 漏洞数:51 | 成为海贼王的男人)

    已交由第三方合作机构(cncert国家互联网应急中心)处理@江苏苏宁易购电子商务有限公司你怎么看

  10. 2015-09-28 14:05 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    @xsser 剑总,稍后help邮件说明情况,麻烦处理之前沟通下呢。

  11. 2015-09-28 14:11 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    @路人甲 站内信一下我,确认一下app的下载途径和相关版本。目前经过与开发童鞋初步沟通,此应用为下线的app应用,不实之处需要与白帽子再次沟通确认。