漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020408
漏洞标题:乐扣官网后台注入漏洞,可差看到所有用户订单
相关厂商:乐扣官网
漏洞作者: 褪色的黑
提交时间:2013-03-21 12:15
修复时间:2013-05-05 12:16
公开时间:2013-05-05 12:16
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-05-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
今年在成都发现好多商场都上了乐扣的专卖店,而且还很热销,小屌丝很想加盟(做梦),但是这不是我等屌丝做的事情。然后就看下他们的网站吧。。。。。。
求礼物!!!!!!!!乐扣的东西非常不错,质量好!
详细说明:
http://xxooxxooxxoo/manager/admin_login.aspx 后台地址
通过后台注入语句得到这些内容
lck_Manager.ManagerId
lck_Manager.ManagerName
lck_Manager.ManagerUser
lck_Manager.ManagerPwd
具体语句我就不写了,有了这些就能插入后台了。。。。。。
漏洞证明:
直接上图。。。。。。。。。。。
九百多万 还是牛逼啊。。。。。。。
修复方案:
这个百度一下就行了。
版权声明:转载请注明来源 褪色的黑@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:14 (WooYun评价)