漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国移动研究院SQL盲注+本地文件包含
提交时间:2014-11-22 09:43
修复时间:2015-01-06 09:44
公开时间:2015-01-06 09:44
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:18
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-11-22: 细节已通知厂商并且等待厂商处理中
2014-11-26: 厂商已经确认,细节仅向厂商公开
2014-12-06: 细节向核心白帽子及相关领域专家公开
2014-12-16: 细节向普通白帽子公开
2014-12-26: 细节向实习白帽子公开
2015-01-06: 细节向公众公开
简要描述:
SQL盲注+本地文件包含。如果可以请给高点分以示鼓励!嘿嘿!
详细说明:
注入点实在是太多,我挑了一处作为演示:星号部分为注入点
漏洞证明:
盲注实在是慢,部分信息如下:
速度不给力,很多内容不完整,见谅。
本地文件包含:
http://labs.chinamobile.com/report/uploaddown.php?path=/../../../../../../etc/passwd
数据库配置文件信息
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-11-26 15:47
厂商回复:
最新状态:
暂无