百度某分站多处SQL注入

http://datamarket.baidu.com/web/app.html#app/index

数据市场

POST /web/api/ HTTP/1.1

Host: datamarket.baidu.com

appId=2&propertyA=1&propertyB=1&duration=12&method=app%2Famount

API中有多处SQL注入。

测试参数中 appId 存在SQL注入。

请自行测试其它。

available databases [2]:

[*] hol********

[*] information_schema

过滤

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-07-13 23:50

厂商回复：

感谢对百度安全的关注及贡献，欢迎继续反馈百度的安全问题

最新状态：

暂无

1. 2014-07-13 21:14 | Hero ( 普通白帽子 | Rank:162 漏洞数:53 | 药药切克闹,充气娃娃迷幻药)

   0

   打破零回复

   1# 回复此人

2. 2014-07-13 21:14 | zzR ( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红＊＊联盟欢迎你－0-)

   0

   DT IN THE HOUSE

   2# 回复此人

3. 2014-07-13 21:17 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子， 但是除了他华...)

   0

   多处可怕

   3# 回复此人

4. 2014-07-13 21:21 | xy小雨 ( 普通白帽子 | Rank:201 漏洞数:56 | 成为海贼王的男人)

   0

   太吓人了-。-

   4# 回复此人

5. 2014-07-13 21:24 | Manning ( 普通白帽子 | Rank:1181 漏洞数:144 | https://github.com/manning23/MSpider)

   0

   一哆嗦

   5# 回复此人

6. 2014-07-13 21:25 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

   0

   @zzR Jolin in the house...FUCKing in the house

   6# 回复此人

7. 2014-07-13 21:27 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

   0

   你的注入都是牛逼级的

   7# 回复此人

8. 2014-07-13 21:41 | maples ( 实习白帽子 | Rank:42 漏洞数:11 | 学习的小菜鸟)

   1

   你关注的白帽子 Jannock 发表了漏洞 百度某分站多处SQL注入

   8# 回复此人

9. 2014-07-13 22:25 | 小人物Reno ( 普通白帽子 | Rank:482 漏洞数:117 | X)

   0

   @zzR Jolin in the house...FUCKing in the house

   9# 回复此人

10. 2014-07-13 22:30 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

    0

    多处.... sql注入..... 百度..

    10# 回复此人

11. 2014-07-13 23:11 | blackexp ( 实习白帽子 | Rank:36 漏洞数:13 | 一点一点的渗透到...)

    0

    是被遗忘的站点吗，百度...你肿么了

    11# 回复此人

12. 2014-07-14 03:58 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    0

    这个叼、

    12# 回复此人

13. 2014-07-14 11:26 | Adam月亮 ( 路人 | 还没有发布任何漏洞 | 初学者，对安全，漏洞类感兴趣，求指点！)

    0

    学习！

    13# 回复此人