有道词典IOS APP存在SQL注入（可绕过）

目标：有道词典IOS APP

检测发现以下地方存在SQL注入：（注入参数keyfrom，布尔盲注）

http://m.youdao.com/softupdate?keyfrom=mdict.6.2.1.iphonepro&imei=11111111111111111111111111111111&model=iPhone8,1&deviceid=11111111111111111111111111111111&mid=9.3.1&username=%28null%29&vendor=AppStore&userid=&idfa=564443CC-9189-42C1-9CC9-0922116AD5C4&abtest=3&ssid=123123

Payload：

keyfrom=mdict.6.2.1.iphonepro' and 'a'='a

keyfrom=mdict.6.2.1.iphonepro' and 'a'='b

检测发现过滤了很多关键字，于是手工写了个Python，仅跑数据库作为证明

请多指教~

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2016-04-08 23:22

厂商回复：

经过确认，此处未进行数据库读取的相关操作，不存在SQL注入问题。如有疑义，请提供测试脚本和更多的数据信息。感谢您对网易的支持！

最新状态：

暂无

1. 2016-04-05 22:52 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | ..)

   1

   66666

   1# 回复此人

2. 2016-04-06 03:02 | Fu地魔 ( 路人 | Rank:20 漏洞数:8 | 无声无息)

   1

   666666

   2# 回复此人

3. 2016-04-08 23:46 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

   1

   不是SQL注入你还确认。缺

   3# 回复此人

4. 2016-04-09 00:15 | CplusHua ( 普通白帽子 | Rank:282 漏洞数:37 | 乌云奖金:-1)

   2

   看这样子是sqlmap跑了跑没跑出数据来…

   4# 回复此人

5. 2016-04-09 17:22 | hear7v ( 普通白帽子 | Rank:175 漏洞数:26 | 求组织收留啊)

   1

   是啊，不少dict的报告，

   5# 回复此人