漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯云某分站存在SQL注射之二
相关厂商:腾讯
提交时间:2015-01-21 18:15
修复时间:2015-03-07 18:16
公开时间:2015-03-07 18:16
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-07: 细节向公众公开
简要描述:
腾讯云某分站存在SQL注射2,有waf,可以绕,神器有时候是万能的
详细说明:
http://cloud.qq.com
http://www.qcloud.com
腾讯云的管理控制台有两个版本,一个是新的console.qcloud.com,一个旧的manage.qcloud.com
存在漏洞的接口也是一个新的,一个旧的,接口不一样,参数不一样
旧的注入在这里: WooYun: 腾讯云某分站存在SQL注射
新的如下:
注入参数:key=ipName
漏洞证明:
修复方案:
版权声明:转载请注明来源 猪猪侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-01-22 11:42
厂商回复:
非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无
漏洞评价:
评论
-
2015-01-22 11:46 |
he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)
-
2015-01-22 12:21 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)
开了匿名提交然后取消?神器是万能的。。跪求@杀器王子 打劫猪猪侠的,它可以万能。你的不行
-
2015-01-22 17:27 |
_Thorns ( 普通白帽子 | Rank:882 漏洞数:55 | 收wb 1:5 无限量收 [平台担保]))
-
2015-01-26 14:34 |
天道 ( 普通白帽子 | Rank:204 漏洞数:14 | 我要从攻城狮变身程序猿了!)
-
2015-02-01 19:48 |
泪雨无魂 ( 实习白帽子 | Rank:94 漏洞数:21 )
-
2015-03-07 19:02 |
明月影 ( 路人 | Rank:12 漏洞数:6 | 学姿势,学思路。)
-
2015-03-07 20:27 |
穿山甲 ( 路人 | Rank:4 漏洞数:1 | 处于学习阶段,跟老师傅学习中。。。)
-
2015-03-07 20:28 |
穿山甲 ( 路人 | Rank:4 漏洞数:1 | 处于学习阶段,跟老师傅学习中。。。)
-
2015-03-08 02:45 |
老阎 ( 路人 | Rank:5 漏洞数:2 | 求师傅带)
-
2015-07-21 10:38 |
sOnsec ( 实习白帽子 | Rank:93 漏洞数:18 | 安全是什么...)
