当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0123413
漏洞标题:
好视力唯一官方商城12枚SQL注入打包集合
相关厂商:
北京好视力科技发展有限公司
漏洞作者:
凌零1
提交时间:
2015-07-03 09:17
修复时间:
2015-08-17 09:18
公开时间:
2015-08-17 09:18
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
15
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-07-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

以前想戴好视力,可买不起

详细说明:

1.http://www.haoshili.com.cn/brand_information.php?fid=2
2.http://www.haoshili.com.cn/brand_information_show.php?id=2
3.http://www.haoshili.com.cn/gongyi1.php?id=2
4.http://www.haoshili.com.cn/gongyi_show.php?id=2
7.http://www.haoshili.com.cn/shop/index.php?sorts=2
5.http://www.haoshili.com.cn/zhuanqu/article_frame.php?
id=364&page=1
6.http://www.haoshili.com.cn/zhuanqu/eye2_frame.php?
id=346&page=1
7.http://www.haoshili.com.cn/zhuanqu/eye3_frame.php?
id=357&page=1
8.http://www.haoshili.com.cn/zhuanqu/eye4_frame.php?
id=221&page=1
9.http://www.haoshili.com.cn/zhuanqu/eye_frame.php?id=361&page=1
10.http://www.haoshili.com.cn/shop/experts.php?act=list&page=\
11.http://www.haoshili.com.cn//shop/goods.php?id=274&page=
%5c&t=sd
12.http://www.haoshili.com.cn//shop/index.php?act=sort

漏洞证明:

几乎都是盲注,把level 设置为三就可以了
以http://www.haoshili.com.cn/brand_information.php?fid=2证明

UP9F[@A@%G57PIOZ)C45LQA.png


N$KVI[3~I`53NSOF1~N2F]O.png


GZIVNWBP$5TQS7GQ~FL8@%U.png

修复方案:

没钱买眼镜,要不送我一个镜框吧!

版权声明:转载请注明来源 凌零1@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝