当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09389

漏洞标题:朵唯女性手机官方,大量用户信息泄漏

相关厂商:朵唯女性手机

漏洞作者: GuoKer(ZhuLiu)

提交时间:2012-07-09 18:01

修复时间:2012-08-23 18:02

公开时间:2012-08-23 18:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-07-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

朵唯女性手机官方,大量用户信息泄漏

详细说明:

朵唯女性手机官方存在漏洞,大量用户信息泄漏

0x0.1
http://www.doov.com.cn/brand.html?layout=dvhddetails&hdid=161 漏洞地址, 注入点 . ... . .
蛋疼咯,html的......
结果手工测试几下,发现很像注入点,,于是果断丢到Havij里面


然后
果断的去看看表


信息都可以出来,本来还想继续渗透下去,但是因为数据库中的帐号太多,脱裤脱了好久哦度没脱完,发现脱的时候是从最近的帐号开始脱,而那些ID是1的要等到后面后面去,算了不搞了,这样了,还是去提醒一下朵唯公司吧


解决方案: 先用SQL通用防注入暂时解决下吧。至于HTML都可以注入我也不太清楚了,能在调用数据库时过滤下的话就过滤下、、、、、、、、、、
FROM GuoKer

漏洞证明:

修复方案:

解决方案: 先用SQL通用防注入暂时解决下吧。至于HTML都可以注入我也不太清楚了,能在调用数据库时过滤下的话就过滤下、、、、、、、、、、

版权声明:转载请注明来源 GuoKer(ZhuLiu)@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:7 (WooYun评价)