当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010356

漏洞标题:很火的XX手机官方网站和商城 SQL漏洞 涉及超过30000用户所有资料

相关厂商:上海青橙

漏洞作者: 爱上平顶山

提交时间:2012-08-09 10:06

修复时间:2012-09-23 10:07

公开时间:2012-09-23 10:07

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-09: 细节已通知厂商并且等待厂商处理中
2012-08-09: 厂商已经确认,细节仅向厂商公开
2012-08-19: 细节向核心白帽子及相关领域专家公开
2012-08-29: 细节向普通白帽子公开
2012-09-08: 细节向实习白帽子公开
2012-09-23: 细节向公众公开

简要描述:

很火的XX手机官方网站和商城 SQL漏洞 涉及超过30000用户所有资料。。。

详细说明:

青橙管理:
你好
首先说一下 无意间的一次检测 望您海涵
老婆的手机坏了 就上京东看看 看到了你们的M1 蛮适合女孩用 呵。。 就拍了一个



顺便看看你们的网站
然后就有了下面的一幕。。。

漏洞证明:

声明说一下:我不是职业的 所以对脱裤啥的没有兴趣 我也只是一个公司管理网站的小职员而已 出于职业的敏感 检测了一下 就发现了严重的问题。。。
我觉得你们的M2很不错 不知道能不能那这个洞换一个M2 也算是留念,以前这位仁兄: WooYun: 小米电商网站认证服务第三方劫持漏洞 他是第一个提出小米漏洞的 有了今天的小米 我相对于青橙而言 我也是第一个 希望有一天青橙有小米一样的成就。
直接上图 简单明了:























PS:这样简单明了 。。。

修复方案:

你们的网站管理应该可以搞定吧 如果确实不行 我免费帮你们解决 你们有我的联系方式
顺便说一下,我是被你们的客服逼来的。。。





最后:我觉得你们的M2很不错 不知道能不能那这个洞换一个M2 也算是留念吧【我觉得值 这个洞目前为止 没有人发现 应该值吧】

版权声明:转载请注明来源 爱上平顶山@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2012-08-09 10:18

厂商回复:

感谢爱上平顶山发现这个漏洞,谢谢

最新状态:

暂无