漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-055530
漏洞标题:齐家网存在SQL注入漏洞
相关厂商:jia.com
漏洞作者: bitcoin
提交时间:2014-04-07 13:01
修复时间:2014-04-12 13:02
公开时间:2014-04-12 13:02
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-07: 细节已通知厂商并且等待厂商处理中
2014-04-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
因为房子最近要装修,所以在齐家网注册了个会员,办了张VIP卡,想着齐家网规模那么大,会不会有漏洞,所以就有了此文。齐家家居网,创立于2005年3月,是中国最大的家居生活消费品导购网站之一。网站旨在让消费者轻松、放心、便捷地完成家庭装潢消费,帮助他们购买到更便宜、更合适他们的家居产品。
详细说明:
漏洞存在于
http://www.jia.com/citylist/index_deco.php
页面的参数citydomain
参数输入',
存在注入
抓登陆包
POST /citylist/index_deco.php HTTP/1.1
Host: www.jia.com
Proxy-Connection: keep-alive
Content-Length: 22
Cache-Control: max-age=0
Origin: http://www.jia.com
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://www.jia.com/citylist/index_deco.php
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: 此处省去我的cookie
citydomain=11111
丢sqlmap跑起来
漏洞证明:
如上
修复方案:
你们应该更专业,有礼物吗?
版权声明:转载请注明来源 bitcoin@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-04-12 13:02
厂商回复:
最新状态:
暂无