漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-010356
漏洞标题:很火的XX手机官方网站和商城 SQL漏洞 涉及超过30000用户所有资料
相关厂商:上海青橙
漏洞作者: 爱上平顶山
提交时间:2012-08-09 10:06
修复时间:2012-09-23 10:07
公开时间:2012-09-23 10:07
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:18
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-08-09: 细节已通知厂商并且等待厂商处理中
2012-08-09: 厂商已经确认,细节仅向厂商公开
2012-08-19: 细节向核心白帽子及相关领域专家公开
2012-08-29: 细节向普通白帽子公开
2012-09-08: 细节向实习白帽子公开
2012-09-23: 细节向公众公开
简要描述:
很火的XX手机官方网站和商城 SQL漏洞 涉及超过30000用户所有资料。。。
详细说明:
青橙管理:
你好
首先说一下 无意间的一次检测 望您海涵
老婆的手机坏了 就上京东看看 看到了你们的M1 蛮适合女孩用 呵。。 就拍了一个
顺便看看你们的网站
然后就有了下面的一幕。。。
漏洞证明:
声明说一下:我不是职业的 所以对脱裤啥的没有兴趣 我也只是一个公司管理网站的小职员而已 出于职业的敏感 检测了一下 就发现了严重的问题。。。
我觉得你们的M2很不错 不知道能不能那这个洞换一个M2 也算是留念,以前这位仁兄: WooYun: 小米电商网站认证服务第三方劫持漏洞 他是第一个提出小米漏洞的 有了今天的小米 我相对于青橙而言 我也是第一个 希望有一天青橙有小米一样的成就。
直接上图 简单明了:
PS:这样简单明了 。。。
修复方案:
你们的网站管理应该可以搞定吧 如果确实不行 我免费帮你们解决 你们有我的联系方式
顺便说一下,我是被你们的客服逼来的。。。
最后:我觉得你们的M2很不错 不知道能不能那这个洞换一个M2 也算是留念吧【我觉得值 这个洞目前为止 没有人发现 应该值吧】
版权声明:转载请注明来源 爱上平顶山@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2012-08-09 10:18
厂商回复:
感谢爱上平顶山发现这个漏洞,谢谢
最新状态:
暂无