漏洞概要 关注数(19) 关注此漏洞
漏洞标题: 盛大游戏一处SQL注入(含多重绕过)
提交时间: 2016-03-13 09:00
公开时间: 2016-04-27 13:49
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
漏洞详情
披露状态:
2016-03-13: 细节已通知厂商并且等待厂商处理中
2016-03-13: 厂商已经确认,细节仅向厂商公开
2016-03-23: 细节向核心白帽子及相关领域专家公开
2016-04-02: 细节向普通白帽子公开
2016-04-12: 细节向实习白帽子公开
2016-04-27: 细节向公众公开
简要描述:
APP安全之SQL注入
详细说明:
检测发现以下地方存在SQL注入:(注入参数os,布尔盲注)
Payload:
漏洞证明:
用SQLMap跑数据时发现网站过滤了不少关键字,括号/mid/substr/substring等,于是写了个Python绕过~如跑出当前数据库用户
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-03-13 13:49
厂商回复:
谢谢报告,洞主你能跑出表内容不,求打脸!
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
评价
-
2016-03-13 09:38 | 晓庄 ( 路人 | Rank:29 漏洞数:7 | Make money.)
1
大兄弟 开门 开门 俺是来送装备的 屠龙宝刀点击就送啊
-
2016-03-13 19:15 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)
1
-
2016-03-13 21:34 | zmx ( 普通白帽子 | Rank:164 漏洞数:43 | wooyun)
1
-
2016-03-14 09:00 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒,就没有什么事是【撸串...)
1
评论