漏洞概要
关注数(24)
关注此漏洞
漏洞标题:天涯社区漏洞打包(SQL注入/文件解析漏洞/XSS等)
提交时间:2015-08-04 11:58
修复时间:2015-08-09 12:00
公开时间:2015-08-09 12:00
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:7
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-08-04: 细节已通知厂商并且等待厂商处理中
2015-08-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
666666666666666
详细说明:
http://bbs.tianya.cn/resin-doc/viewfile/?contextpath=/&servletpath=&file=fakefile.xml
http://wenda.tianya.cn/search.jsp POST参数q疑似注入
http://passport.tianya.cn/countryTel/json.do?var=--%3E%27%22%3E%3CH1%3EXSS%40HERE%3C%2FH1%3E
这么终于的服务器上竟然有反射XSS
合理处理json数据
http://open.tianya.cn/static/js/my_popbox_js.js/a.php
Nginx解析漏洞
http://ebook.tianya.cn/
iis短文件名可枚举文件
http://apps.tianya.cn/static/upgrade2/css/style.css/a.php
Nginx解析漏洞
漏洞证明:
修复方案:
版权声明:转载请注明来源 陆由乙@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-08-09 12:00
厂商回复:
漏洞Rank:8 (WooYun评价)
最新状态:
2015-08-10:相关漏洞已经修复,在此感谢漏洞发现者对我们安全问题的善意提醒