漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-064957
漏洞标题:某网上教学系统存在SQL注入漏洞
相关厂商:某网上教学系统
漏洞作者: 路人甲
提交时间:2014-06-16 19:08
修复时间:2014-09-11 19:10
公开时间:2014-09-11 19:10
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-16: 细节已通知厂商并且等待厂商处理中
2014-06-21: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-08-15: 细节向核心白帽子及相关领域专家公开
2014-08-25: 细节向普通白帽子公开
2014-09-04: 细节向实习白帽子公开
2014-09-11: 细节向公众公开
简要描述:
晚上来一发~
详细说明:
开发公司:未知
漏洞类型:SQL注入
漏洞文件:Web_Org/New_Module/St_Apply_Emall.aspx
漏洞参数:?infoid=
关键词:google: inurl:Course_Default.aspx
影响用户: (部分却在安全狗,360,屌丝无力去绕)
加单引号直接报错:
实例演示:
1.
http://chinakjzj.com/Web_Org/New_Module/St_Apply_Emall.aspx?infoid=28
2.
http://www.fenghuaedu.net/Web_Org/New_Module/St_Apply_Emall.aspx?infoid=28
3.
http://gxrg.com/Web_Org/New_Module/St_Apply_Emall.aspx?infoid=28
4.
http://www.ndddpx.com/Web_Org/New_Module/St_Apply_Emall.aspx?infoid=28
5.
http://www.gxkjks.com/Web_Org/New_Module/St_Apply_Emall.aspx?infoid=28
6.
http://www.jzkjpx.cn/Web_Org/New_Module/St_Apply_Emall.aspx?infoid=28
漏洞证明:
见详细
修复方案:
参数过滤
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-09-11 19:10
厂商回复:
最新状态:
暂无