漏洞概要
关注数(24)
关注此漏洞
漏洞标题:dooland所有子站通用SQL注入
提交时间:2014-12-09 17:51
修复时间:2014-12-14 17:52
公开时间:2014-12-14 17:52
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-12-09: 细节已通知厂商并且等待厂商处理中
2014-12-14: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
学好SQL注入,走遍天下都不怕
读览天下的子站太多,但是都存在同样的问题。
详细说明:
注入页面:
几乎涉及到读览天下所有子站(实在太多,没有全部测试)
随便测试一个:
艺术财经注入页面:artvalue.dooland.com/float_check_cart.php(所有涉及到SQL注入的页面都是这样的)
刷新页面,使用web代理burpsuit,抓包:
修改POST包为:
爆出数据库类型为Mysql,数据库名为mag_list:
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-12-14 17:52
厂商回复:
最新状态:
暂无