开源中国某处SQL报错注入可获取敏感数据

在 http://git.oschina.com/

用的是微擎

微擎通用的洞

WooYun: 微擎-微信公众平台自助引擎系统 注入第一枚(Demo成功)。

WooYun: 微擎-微信公众平台自助引擎系统 注入第二弹 (demo成功)

不知道为什么没补

在 http://git.oschina.com/

用的是微擎

微擎通用的洞

WooYun: 微擎-微信公众平台自助引擎系统 注入第一枚(Demo成功)。

WooYun: 微擎-微信公众平台自助引擎系统 注入第二弹 (demo成功)

不知道为什么没补

无

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-22 11:44

厂商回复：

这是 OSChina 的吗？ 我们没有 PHP 的东西

最新状态：

2014-07-22：OSChina 的域名是 git.oschina.net

1. 2014-07-22 14:06 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)

   0

   红薯哥都是java

   1# 回复此人

2. 2014-07-22 15:49 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   0

   .com的是……山寨的吗？

   2# 回复此人

3. 2014-07-22 21:31 | KaneLin1217 ( 路人 | Rank:2 漏洞数:2 | 高校学生)

   0

   山寨的吧，官方是oschina.net 这个是oschina.com（没有备案信息）

   3# 回复此人

4. 2014-07-23 04:28 | Jumbo ( 普通白帽子 | Rank:132 漏洞数:33 | 猫 - https://www.chinabaiker.com)

   0

   这是 OSChina 的吗？ 我们没有 PHP 的东西

   4# 回复此人

5. 2014-07-23 09:12 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

   0

   为啥跳转本地？

   5# 回复此人

6. 2014-07-23 12:44 | MyKings ( 普通白帽子 | Rank:134 漏洞数:30 )

   2

   git.oschina.com域名指向的是127.0.0.1，不是楼主自己在本地YY吧~

   6# 回复此人

7. 2014-07-23 14:32 | 小怿 ( 实习白帽子 | Rank:31 漏洞数:7 | )

   0

   @MyKings 看到你的评论，我也ping了一下。。果然是指向了本地。。

   7# 回复此人

8. 2014-07-23 15:02 | 三秋 ( 路人 | Rank:16 漏洞数:7 | xxooing)

   0

   楼主不会每天上山寨osc吧。。。 然后还把自己代码提交到 山寨osc了。

   8# 回复此人

9. 2014-11-05 19:19 | kow ( 路人 | Rank:29 漏洞数:4 | 研表究明，汉字的序顺并不定一能影阅响读，...)

   0

   笑尿了~~原来可以这样骗邀请码~~

   9# 回复此人

10. 2015-11-21 22:00 | Wired in ( 路人 | Rank:4 漏洞数:2 | Wired in)

    0

    楼主应该是自己本地装了这个系统,然后上oschina时打错了域名(git.oschina.com指向本地),最后兴奋的把自己给黑了

    10# 回复此人