当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0155879

漏洞标题:郑州日产汽车有限公司多出sql注入

相关厂商:郑州日产汽车有限公司

漏洞作者: 胡总理

提交时间:2015-11-25 18:23

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-25: 细节已通知厂商并且等待厂商处理中
2015-11-26: 厂商已经确认,细节仅向厂商公开
2015-12-06: 细节向核心白帽子及相关领域专家公开
2015-12-16: 细节向普通白帽子公开
2015-12-26: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

请看下面讲解 www.zznissan.com.cn

详细说明:

http://heilongjiang.zznissan.com.cn/showcartype_img.php?mid=5

这是
无聊检测到的 还有多处注入漏洞 下面来证明

漏洞证明:

%F8OZ$WIM(G_P7IYG35M[BM.png


[73 tables]
+-------------------------+
| user |
| article |
| category |
| category_bak |
| counter |
| country |
| cxbj |
| department |
| dqcategory |
| email_td |
| fankui |
| game_list1 |
| game_list2 |
| hk_article |
| huikan |
| imagefile |
| imgcategory |
| ip |
| jxcs |
| jxs |
| jxs_article |
| jxs_category |
| jxs_cpscxl |
| jxs_cxbj |
| jxs_dc |
| jxs_dxjl |
| jxs_dxnp |
| jxs_hqbj |
| jxs_imagefile |
| jxs_imgcategory |
| jxs_rencai |
| jxs_user |
| jxs_userfun |
| jxs_usergroup |
| jxs_wydc |
| jxs_zhaopin |
| jxs_zxzx |
| memberawoke |
| memberinfo |
| memberinfo_t |
| membermark |
| membermodify |
| memberpay |
| navigation |
| newshop |
| online |
| rencai |
| sendmail_members |
| sessions |
| t_bbs_table |
| t_bbs_user |
| templete |
| tg_class |
| tg_content |
| tg_wydc |
| topic |
| tp |
| tuangou |
| userfun |
| usergroup |
| vote |
| wenjuan2008_ansdetails |
| wenjuan2008_answer |
| wenjuan2008_loginrecord |
| wenjuan2008_user |
| wenjuan2009_loginrecord |
| wenjuan2009_user |
| wjshuaike2009_answer |
| wqw_city |
| wqw_prov |
| zhaopin |
| zz_city |
| zz_prov |
+-------------------------+
70多个表 用处非常大

修复方案:

修复过滤你懂的

版权声明:转载请注明来源 胡总理@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-11-26 09:03

厂商回复:

漏洞已收到。谢谢关注。

最新状态:

暂无


漏洞评价:

评价