淘宝网某分站存在SQL注射

2015年6月11日11:47:16评论326 views字数 207阅读0分41秒阅读模式

摘要

2014-09-08：细节已通知厂商并且等待厂商处理中
2014-09-09：厂商已经确认，细节仅向厂商公开
2014-09-19：细节向核心白帽子及相关领域专家公开
2014-09-29：细节向普通白帽子公开
2014-10-09：细节向实习白帽子公开
2014-10-23：细节向公众公开

漏洞概要关注数(17) 关注此漏洞

缺陷编号： WooYun-2014-75405

漏洞标题：淘宝网某分站存在SQL注射

漏洞作者： Jannock

提交时间： 2014-09-08 00:45

公开时间： 2014-10-23 00:46

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 15

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： php+字符类型注射

3人收藏

漏洞详情

披露状态：

简要描述：

淘宝网某分站存在SQL注射

详细说明：

网址: http://cloud.video.taobao.com/videoapi/auth.php 存在SQL注入漏洞:

请求链接：

http://cloud.video.taobao.com/videoapi/auth.php

auth%5Fkey=sukeiyaikikesyam

注入参数:auth%5Fkey=sukeiyaikikesyam

注入方式:post

测试参数：参数1：" and 12=12 and "kn"="kn 参数2：" and 12=13 and "a"="a

漏洞证明：

修复方案：

过滤

版权声明：转载请注明来源 Jannock@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-09-09 15:44

厂商回复：

感谢您对我们的支持与关注，该问题我们已经修复。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-08 11:24 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

1

尼玛

1# 回复此人
2014-09-09 15:45 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子，但是除了他华...)

0

请收下我的膝盖..

2# 回复此人
2014-09-09 18:37 | 紫霞仙子 ( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队，啥都干不成！！！)

0

....

3# 回复此人
2014-09-10 00:28 | Croxy ( 普通白帽子 | Rank:513 漏洞数:55 | 只会送人头)

0

请收下我的膝盖..

4# 回复此人
2014-09-10 03:51 | Mayter ( 普通白帽子 | Rank:165 漏洞数:40 | 笼鸡有食汤锅近，野鹤无粮天地宽.)

1

请收下我的膝盖..

5# 回复此人
2014-09-10 13:45 | d3pT1 ( 路人 | Rank:1 漏洞数:2 | 人法地，地法天，天法道，道法自然。)

0

请收下我的膝盖..

6# 回复此人
2014-09-11 16:12 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名，可我没猜出密码。)

1

啊

7# 回复此人
2014-10-19 19:17 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

0

淘宝的SQL注入才8分好少啊。

8# 回复此人
2015-04-14 15:21 | 明月影 ( 路人 | Rank:12 漏洞数:8 )

0

请收下楼上的膝盖。

9# 回复此人

漏洞概要 关注数(17) 关注此漏洞