漏洞概要
关注数(24)
关注此漏洞
漏洞标题:读览天下旗下分站通用SQL注入/近百库/上万用户信息泄露包括管理员
提交时间:2015-07-21 10:58
修复时间:2015-07-26 11:00
公开时间:2015-07-26 11:00
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
几乎都存在注入,我就不一一试了,随便找了八个证明吧!
详细说明:
统一host注入:
http://UCG.dooland.com/
http://zqb.dooland.com/
http://zgdy.dooland.com/
http://zgzk.dooland.com/
http://zfsd.dooland.com/
http://zito.dooland.com/
http://zxyxbook.dooland.com/
http://zongyiweekly.dooland.com/
太多了,我贴五个吧!
漏洞证明:
泄露数据库,部分用户及管理员信息
其中一个用户表8W多
部分管理员信息,似乎弱口令
数据库太多了,记得是90多
修复方案:
版权声明:转载请注明来源 凌零1@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-07-26 11:00
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无