当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144437

漏洞标题:好利网P2P理财投资平台SQL注入漏洞

相关厂商:haolyy.com

漏洞作者: 行侠

提交时间:2015-10-12 16:08

修复时间:2015-11-26 16:16

公开时间:2015-11-26 16:16

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经确认,细节仅向厂商公开
2015-10-22: 细节向核心白帽子及相关领域专家公开
2015-11-01: 细节向普通白帽子公开
2015-11-11: 细节向实习白帽子公开
2015-11-26: 细节向公众公开

简要描述:

让我领小米WIFI,那就先检测下平台的安全性吧,自家的漏洞都是问题,怎么敢投资呢,今天投资明天钱不一定给谁呢》》》》》

详细说明:

存在注入点http://www.haolyy.com/retail/156938?nid=bopu201509300509101777E1AF

360截图20151001201705457.jpg

360截图20151001201921646.jpg


还有一处可以任意查看投资人的一寸小照片下面的链接都可以看以此类推就不一一列举了http://www.haolyy.com/build/image/riskimg/1.jpg
http://www.haolyy.com/build/image/riskimg/2.jpg
http://www.haolyy.com/build/image/riskimg/3.jpg
http://www.haolyy.com/build/image/riskimg/4.jpg
http://www.haolyy.com/build/image/riskimg/5.jpg

漏洞证明:

存在注入点http://www.haolyy.com/retail/156938?nid=bopu201509300509101777E1AF

360截图20151001201705457.jpg


360截图20151001201921646.jpg


360截图20151001203117796.jpg


360截图20151001203130727.jpg


360截图20151001203140261.jpg


360截图20151001203151243.jpg


360截图20151001203210946.jpg

修复方案:

自己修复吧,我是工具当,过滤不严造成的,照片处没有验证机制。

版权声明:转载请注明来源 行侠@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2015-10-12 16:15

厂商回复:

感谢反馈漏洞

最新状态:

暂无