2345分站SQL注入漏洞 （附送xss)

漏洞概要 关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-195094

漏洞标题： 2345分站SQL注入漏洞 （附送xss)

相关厂商： 2345网址导航

漏洞作者： 天朝

提交时间： 2016-04-11 18:52

公开时间： 2016-05-27 14:00

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 15

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 注射技巧

1人收藏

漏洞详情

披露状态：

2016-04-11： 细节已通知厂商并且等待厂商处理中
2016-04-12： 厂商已经确认，细节仅向厂商公开
2016-04-22： 细节向核心白帽子及相关领域专家公开
2016-05-02： 细节向普通白帽子公开
2016-05-12： 细节向实习白帽子公开
2016-05-27： 细节向公众公开

简要描述：

大厂商应该能上首页

详细说明：

sql注入:  http://mall.wan.2345.com/task/taskList?gid=1021&own=0&page=1 参数：gid
 
 xss跨站: http://mall.wan.2345.com/gift/?keyword=1'%22()%26%25<acx><ScRiPt%20>alert(233)</ScRiPt>&limit=6&order_by=converted&own=1&sort=asc&type=3 
 
 参数： keyword

漏洞证明：

修复方案：

版权声明：转载请注明来源 天朝@乌云

漏洞回应