某建站系统多个sql注入点打包提交(影响大量企业站)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077819

漏洞标题：某建站系统多个sql注入点打包提交(影响大量企业站)

漏洞作者：路人甲

提交时间：2014-09-29 18:36

修复时间：2014-12-28 18:38

公开时间：2014-12-28 18:38

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-29：细节已通知厂商并且等待厂商处理中
2014-09-30：厂商已经确认，细节仅向厂商公开
2014-10-03：细节向第三方安全合作伙伴开放
2014-11-24：细节向核心白帽子及相关领域专家公开
2014-12-04：细节向普通白帽子公开
2014-12-14：细节向实习白帽子公开
2014-12-28：细节向公众公开

简要描述：

打包提交吧

详细说明：

绝对关键词：bigSortProduct.asp?bigid=
当前这套程序注入点包括：
bigSortProduct.asp?bigid=
productShow1.asp?id=
newsshow.asp?newsID=
打包提交吧
实例：
http://www.junfang.com.cn/bigSortProduct.asp?bigid=180'

http://www.junfang.com.cn/productShow1.asp?id=1292'

http://www.junfang.com.cn/newsshow.asp?newsID=114'

读库：
http://www.junfang.com.cn/bigSortProduct.asp?bigid=180

漏洞证明：

涉及的案例还是很多，统计不过来，给出20多个用于验证吧
http://www.junfang.com.cn/bigSortProduct.asp?bigid=180
http://www.oxyzw.com/bigSortProduct.asp?bigid=88
http://www.sfolt.com/bigsortproduct.asp?bigid=115
http://www.85l.org/chuanbohuxian/bigSortProduct.asp?bigid=76
http://www.qieguanji15895595058.name/bigSortProduct.asp?bigid=128
http://www.shengxing.cc/bigSortProduct.asp?bigid=164
http://www.booad365.com.cn/kqp/bigSortProduct.asp?bigid=111
http://www.bjyyh.cn/lianzhuji/bigSortProduct.asp?bigid=75
http://www.paidj.net/fanghualian/bigSortProduct.asp?bigid=111
http://www.yishuishi.com/bigSortProduct.asp?bigid=160
http://www.gutehuxuan.com/bigSortProduct.asp?bigid=7
http://www.boolad.cn/wufeng/bigSortProduct.asp?bigid=112
http://www.jiakesmt.com/bigSortProduct.asp?bigid=106
http://www.zbflange.com/bigSortProduct.asp?bigid=196
http://www.bjkuangshan.cn/jgsjp/bigSortProduct.asp?bigid=123
http://www.myjiaju.org.cn/tywq/bigSortProduct.asp?bigid=132
http://www.yy12.net/meiqifashenglu/bigSortProduct.asp?bigid=109
http://www.daoyici.net/wyzc/bigSortProduct.asp?bigid=103
http://www.sunsearch365.com/pmjx/bigSortProduct.asp?bigid=75
http://www.zhuche365.cn/bjlsti/bigSortProduct.asp?bigid=96
http://www.xamzh.com/bigSortProduct.asp?bigid=229
........还有很多吖

修复方案：

就这样吧

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-09-30 12:24

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077819

漏洞标题：某建站系统多个sql注入点打包提交(影响大量企业站)

相关厂商：cncert国家互联网应急中心

漏洞作者：路人甲

提交时间：2014-09-29 18:36

修复时间：2014-12-28 18:38

公开时间：2014-12-28 18:38

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077819

漏洞标题：某建站系统多个sql注入点打包提交(影响大量企业站)

相关厂商：cncert国家互联网应急中心

漏洞作者： 路人甲

提交时间：2014-09-29 18:36

修复时间：2014-12-28 18:38

公开时间：2014-12-28 18:38

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-077819"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云