漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中國金融租賃集團主站多處SQL註入打包提交(香港地區)
提交时间:2016-02-16 09:44
修复时间:2016-02-17 14:42
公开时间:2016-02-17 14:42
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态: 已交由第三方合作机构(hkcert香港互联网应急协调中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-02-16: 细节已通知厂商并且等待厂商处理中
2016-02-17: 厂商已经确认,细节仅向厂商公开
2016-02-17: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
中國金融租賃集團主站多處SQL註入打包提交
详细说明:
【注入点】:
http://**.**.**.**/c/industry_news_details.php?itemid=479&page=1
http://www.**.**.**.**/c/corp_news_details.php?itemid=455&page=01
http://**.**.**.**/s/corp_news_details.php?itemid=455&page=01
他們存在於不同文件,有的是子目錄不同,所以是不同註入
【手工测试】
修改語句為:http://**.**.**.**/s/corp_news_details.php?itemid=455%27&page=01
報錯信息,且泄露了路徑
【sqlmap截图】
數據庫信息:
【乌云查重】
查了下廠商名稱,只發現了http://**.**.**.**/bugs/wooyun-2010-0163764
但是我和他的文件並不壹樣
漏洞证明:
sqlmap全过程:
修复方案:
PS:请问审核,以后提交香港台湾的漏洞,需不需要都转换为繁体字,还是简体字就可以?
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2016-02-17 12:38
厂商回复:
已將事件通知有關機構
最新状态:
2016-02-17:相關機構回報已修復漏洞
漏洞评价:
评价