漏洞概要
关注数(24)
关注此漏洞
漏洞标题:加双筷子官方APP存在SQL注入(含114W+用户数据)
提交时间:2016-01-21 16:12
修复时间:2016-01-28 19:39
公开时间:2016-01-28 19:39
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
Tags标签:
无
漏洞详情
披露状态:
2016-01-21: 细节已通知厂商并且等待厂商处理中
2016-01-21: 厂商已经确认,细节仅向厂商公开
2016-01-28: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
APP安全之SQL注入
详细说明:
目标:加双筷子官方APP回家吃饭
检测发现以下地方存在SQL注入:(POST中的page_key,布尔盲注)
Payload:
漏洞证明:
1、SQLMap漏洞证明
2、列出当前数据库用户
3、列出所有数据库
4、列出当前库所有表,共134个,发现用户表,含114W+用户数据,具体就不深入了~
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2016-01-21 17:31
厂商回复:
感谢白帽子检测,这个问题上周内部已经发现了,不过修复的比较慢,唉
最新状态:
2016-01-28:已修复
漏洞评价:
评价
-
2016-01-21 17:58 |
邪少 ( 实习白帽子 | Rank:75 漏洞数:10 | 百里长苏)
感谢白帽子检测,这个问题上周内部已经发现了,不过修复的比较慢,唉
-
2016-01-21 18:02 |
牛 小 帅 ( 普通白帽子 | Rank:979 漏洞数:227 | 1.乌云最帅的男人 ...)
一个“唉”字结尾,起到承前启后,华龙点睛之作用,充分展现了厂商在公司的不如意位置以及对公司、前途一片渺茫&满天失望!
-
2016-01-21 18:06 |
我的媳妇儿胸太小 ( 路人 | Rank:12 漏洞数:4 | Rank:681 漏洞数:37 | 我喜欢御姐)
一个“唉”字结尾,起到承前启后,华龙点睛之作用,充分展现了厂商在公司的不如意位置以及对公司、前途一片渺茫&满天失望!
-
@我的媳妇儿胸太小 @牛 小 帅 每个公司的安全都要经历从零到一的过程
-
2016-01-21 18:48 |
卖C4的小男孩 ( 实习白帽子 | Rank:67 漏洞数:7 | 啦啦啦 啦啦啦 我是一个卖C4的小行家!...)
@北京加双筷子科技有限公司 boos不重视安全, 不如你们给老板来一个惊喜,吓一吓他
-
2016-01-21 22:40 |
丨丶钟情 ( 路人 | Rank:6 漏洞数:2 | 我就看看 不提交漏洞)
一个“唉”字结尾,起到承前启后,华龙点睛之作用,充分展现了厂商在公司的不如意位置以及对公司、前途一片渺茫&满天失望!
-
2016-01-21 23:44 |
小威 ( 普通白帽子 | Rank:527 漏洞数:85 | 活到老,学到老!)
就仅一个“唉”字来看,此处应该有猎头及各大安全厂商的招聘广告! 前排出售广告位!
-
@卖C4的小男孩 @丨丶钟情 @小威 公司技术氛围很好,美女也很多,哈哈
-
2016-01-22 09:42 |
牛 小 帅 ( 普通白帽子 | Rank:979 漏洞数:227 | 1.乌云最帅的男人 ...)
@北京加双筷子科技有限公司 美女多 又不是咱们的o(∩_∩)o
-
2016-01-22 10:20 |
小威 ( 普通白帽子 | Rank:527 漏洞数:85 | 活到老,学到老!)
@北京加双筷子科技有限公司 把美女介绍给我 我给你介绍个好工作 :)
-
2016-01-28 19:43 |
vforbox ( 路人 | Rank:2 漏洞数:2 | 我这么努力, 就是为了实现梦想)
一个“唉”字结尾,起到承前启后,华龙点睛之作用,充分展现了厂商在公司的不如意位置以及对公司、前途一片渺茫&满天失望!
