漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-037731
漏洞标题:智普教育报名处存在post盲注漏洞
相关厂商:智普教育
漏洞作者: 逆
提交时间:2013-09-25 15:34
修复时间:2013-11-09 15:34
公开时间:2013-11-09 15:34
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:13
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-11-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
在线报名处一参数没有做过滤,造成post盲注漏洞,可得到全部数据库信息
详细说明:
course=python%E5%9B%BD%E5%BA%86%E7%89%B9%E6%83%A0%E7%8F%AD%28%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95%29&uname=%E4%B9%8C%E6%8B%89%E6%8B%89&qq=123456789&tel=987456321&email=qq%40qq.com&content=%E5%93%87%E5%92%94%E5%92%94&applysubmit=%E6%8A%A5%E5%90%8D
以上为提交表单时post数据,参数qq没有做过滤造成注入
漏洞证明:
修复方案:
参数做过滤~~~
版权声明:转载请注明来源 逆@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝