漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
朵唯女性手机官方,大量用户信息泄漏
相关厂商:
漏洞作者:
提交时间:
2012-07-09 18:01
修复时间:
2012-08-23 18:02
公开时间:
2012-08-23 18:02
漏洞类型:
SQL注射漏洞
危害等级:
高
自评Rank:
15
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2012-07-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
朵唯女性手机官方,大量用户信息泄漏
详细说明:
朵唯女性手机官方存在漏洞,大量用户信息泄漏
0x0.1
http://www.doov.com.cn/brand.html?layout=dvhddetails&hdid=161 漏洞地址, 注入点 . ... . .
蛋疼咯,html的......
结果手工测试几下,发现很像注入点,,于是果断丢到Havij里面
然后
果断的去看看表
信息都可以出来,本来还想继续渗透下去,但是因为数据库中的帐号太多,脱裤脱了好久哦度没脱完,发现脱的时候是从最近的帐号开始脱,而那些ID是1的要等到后面后面去,算了不搞了,这样了,还是去提醒一下朵唯公司吧
解决方案: 先用SQL通用防注入暂时解决下吧。至于HTML都可以注入我也不太清楚了,能在调用数据库时过滤下的话就过滤下、、、、、、、、、、
FROM GuoKer
漏洞证明:
修复方案:
解决方案: 先用SQL通用防注入暂时解决下吧。至于HTML都可以注入我也不太清楚了,能在调用数据库时过滤下的话就过滤下、、、、、、、、、、
版权声明:转载请注明来源 GuoKer(ZhuLiu)@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:7 (WooYun评价)