漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-11-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
.................
详细说明:
某通用型建站系统SQL注射。
中英文的双版建站系统。
关键字:inurl:CnProductShow.asp?id=(中文站)
inurl:EnProductShow.asp?id= (英文站)
案例如下:
http://www.sfiasia.com.cn/Island_Oasis/cnProductShow.asp?ID=132&productClass=45
http://www.mc2lighting.com/cnproductshow.asp?id=17
http://www.aisat.com.cn/cnProductShow.asp?id=23
http://www.kingdom-hardware.com/ware/cnproductshow.asp?ID=292
http://www.yongzhan.net/zhan/cnproductshow.asp?ID=280
http://led0579.com/cnproductshow.asp?big=42&id=444
http://www.tcmile.com/tl/cnproductshow.asp?id=27
http://www.amplestarenterprises.com/cnproductShow.asp?ID=146
http://fireworksyiwu.com/cnproductshow.asp?big=4&id=78
http://www.led0579.com/cnproductshow.asp?big=45&id=451
http://leyiduo.com/enproductshow.asp?id=117
http://www.gdolair.com/EnProductShow.asp?ID=345
http://www.sansentech.com/EnProductShow.asp?ID=117
http://www.loyaltoy.com/enProductShow.asp?ID=4111
http://eewell.com/EnProductShow.asp?ID=343
http://www.smwjw.com/sm/EnProductShow.asp?ClassID=20&ID=702
http://www.sehon.net/sh/enproductshow.asp?id=1963
http://www.econuodigital.com/enProductShow.asp?ID=281
http://www.szsuniu.com/enProductShow.asp?ID=339
http://www.dhltchem.com/EnProductShow.asp?ID=103
http://www.morewintyre.com/enProductshow.asp?ID=139
http://www.gdwenshen.com/enProductShow.asp?ID=8458
http://www.ywclock.com/web/EnProductShow.asp?ID=304
漏洞证明:
均可注入用户密码。
http://www.sfiasia.com.cn/Island_Oasis/cnProductShow.asp?ID=132&productClass=45
http://www.mc2lighting.com/cnproductshow.asp?id=17
http://www.aisat.com.cn/cnProductShow.asp?id=23
http://leyiduo.com/enproductshow.asp?id=117
http://eewell.com/EnProductShow.asp?ID=343
修复方案:
..........
版权声明:转载请注明来源 小骇@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝