漏洞概要
关注数(24)
关注此漏洞
漏洞标题:漫画岛安卓app服务器SQL注入
提交时间:2016-01-23 23:00
修复时间:2016-03-08 21:29
公开时间:2016-03-08 21:29
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:12
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2016-01-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
漫画岛安卓app服务器SQL注入
可致所有用户数据、服务器信息泄露
乌云路由自动漏洞发现案例 #01
用乌云路由,走路都能撞到漏洞呢
详细说明:
问题URL:/comic/comicsupdateinfo_sb
问题参数(POST):bookid
原始请求:
问题描述:在json的bookid参数中未做合法性验证,导致SQL注入漏洞,可致数据库数据泄露
发现过程:在乌云路由器下面正常使用app,发现burp报告漏洞,使用SQLMAP验证后提交漏洞,仅获取数据表名称作为证明,未深入进行数据拖取
漏洞证明:
附:乌云路由结合burp的漏洞提示截图(之后根据该结果使用sqlmap测试漏洞危害)
修复方案:
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)