漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-08-18: 细节已通知厂商并且等待厂商处理中
2014-08-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
我只是来捡漏的
详细说明:
存在漏洞的网站:
http://219.143.252.238:90
测试过程:
登录页面usrname参数过滤不严,导致SQL注入漏洞,post包如下:
POST /sp/SpLogin.do?method=login&targetId=0106 HTTP/1.1
Host: 219.143.252.238:90
User-Agent: Mozilla/5.0 (Windows NT 5.2; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://219.143.252.238:90/sp/index.jsp
Cookie: JSESSIONID=3DC8621EEE4CA34BD48EC9FC7A5A7D0A
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 27
username=test&password=test
漏洞证明:
获得当前数据库名称:COFCO_USER
修复方案:
没有买卖,就没有杀害!
版权声明:转载请注明来源 中国公民@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-08-23 19:38
厂商回复:
最新状态:
暂无