漏洞概要
关注数(24)
关注此漏洞
漏洞标题:芒果网某分站未修复完整导致依旧存在SQL注入(一处为OR类型注入)
提交时间:2015-10-12 12:00
修复时间:2015-10-17 12:02
公开时间:2015-10-17 12:02
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
两个参数需要继续过滤!~~~
详细说明:
注入点一:(未成功的注入)
之前测试时,发现修复不完整,依旧存在注入!~~~
如下
但是最近来测试,发现不行了,注入还是存在的,需要绕过吧!~~~
这样没有测试成功,能力有限也就没有继续绕过注入测试了。
注入点二:
sw参数修复未完全,依旧可以被注入
未添加--level 5 --risk 3测试结果,没法注入
添加--level 5 --risk 3后测试结果如下图
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-17 12:02
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无