漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0152479
漏洞标题:南戴河123订房网某处存在SQl注入漏洞(DBA权限/root密码泄露/大量用户密码泄露)
相关厂商:南戴河123订房网
漏洞作者: 路人甲
提交时间:2015-11-08 21:12
修复时间:2015-12-23 21:14
公开时间:2015-12-23 21:14
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
南戴河123订房网(www.nandaihe123.com)是南戴河地区专业旅游订房网站,于2013年正式投入运营,是面向秦皇岛地区旅游相关企业和来南、北戴河的游客的专业旅游商务平台。是服务于广大旅游爱好者和网民的交流窗口。其内容涵盖了吃、住、行、游、购、娱乐等各个方面的信息。为游客提供了详实的目的地指南和旅游产品介绍,充分发挥了互联网的便捷、双向互动的特点。是南戴河、北戴河“阳光、沙滩、大海、长城”自然人文景观的又一个服务平台。
南戴河123订房网(www.nandaihe123.com)拥有一批从事过酒店管理和旅游接待经验的专业人才队伍。本着“诚信、高效、勤勉、共嬴”的经营服务宗旨,为广大游客提供订票、订房、租车、导游等一条龙服务。
详细说明:
地址:http://www.nandaihe123.com/family/family_show.php?id=76
漏洞证明:
与密码相关的表:
选取一处进行测试:
修复方案:
增加过滤。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝