某通用型建站系统两处SQL注射漏洞（附众多案例）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077445

漏洞标题：某通用型建站系统两处SQL注射漏洞（附众多案例）

漏洞作者： bitcoin

提交时间：2014-09-27 20:20

修复时间：2014-12-26 20:22

公开时间：2014-12-26 20:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-27：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-12-26：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

某通用型建站系统两处SQL注射漏洞（附众多案例）

详细说明：

深圳市金锐网络技术有限公司 http://www.szjrwl.com/
第一处，注入参数class
谷歌搜索
inurl:product.asp?class= 技术支持：金锐网络
http://www.dongli-robot.com/product.asp?class=53&classname=%BB%FA%C6%F7%C8%CB%B4%FA%C0%ED%C5%E4%CC%D7%BC%B0%BC%BC%CA%F5%D6%A7%B3%D6

其他注入案例
http://www.szhaolong.net/cn/product.asp?class=27&classname=%B2%BB%D0%E2%B8%D6%B6%DB%BB%AF%CF%B5%C1%D0
http://www.kexingsz.com.cn/product.asp?class=2&classname=+%B5%AF%BB%C9%CE%E5%BD%F0%CA%D4%D1%E9%BB%FA
http://www.lulinternational.com/tw/product.asp?class=223&classname=IGBT+DC1200V
http://www.hyilight.com/product.asp?class=7&classname=LED%20%C2%B7%20%B5%C6
http://www.coko-tech.com/cn/product.asp?class=79&classname=MICRO5PIN%C4%B8%D7%F9%D7%AA%BD%D3%CD%B7
http://www.honghengmp.com/cn/product.asp?class=9&classname=%B1%AD%B5%E6/%B4%C5%D0%D4%B1%F9%CF%E4%CC%F9
http://www.spdl68.com/product.asp?class=3&classname=%B1%DA%B9%D2%B5%E7%D4%B4%CF%B5%CD%B3&mn_id=6374
http://www.szbianse.com/cn/product.asp?class=21&classname=%D2%B9%B9%E2%B2%FA%C6%B7%D5%B9%CA%BE
http://baisen.hk-web-2.szjrwl.com/cn/product.asp?class=29&key=&price1=&price2=&classname=%CC%EC%BB%A8%B5%C6&page=3&section=1
http://www.cf-dz.com/product.asp?class=14&classname=VIMICRO%D6%D0%D0%C7%CE%A2
第二处，注入参数id
谷歌搜索
inurl:productshow.asp?id= 技术支持：金锐网络
http://www.coko-tech.com/cn/productshow.asp?id=112

其他注入案例
http://www.kexingsz.com.cn/productshow.asp?id=407&mnid=6364&classname=+%CA%B3%C6%B7%C0%E0&uppage=
http://www.dongli-robot.com/productshow.asp?id=131&mnid=6361&classname=%BB%FA%C6%F7%C8%CB%B4%FA%C0%ED%C5%E4%CC%D7%BC%B0%BC%BC%CA%F5%D6%A7%B3%D6
http://www.lulinternational.com/tw/productshow.asp?id=127
http://www.honghengmp.com/cn/productshow.asp?id=298
http://www.hyilight.com/productshow.asp?id=27&mnid=4869&classname=LED%CD%B6%B9%E2%B5%C6&uppage=product.asp
http://www.spdl68.com/productshow.asp?id=67&mnid=6363&classname=%D6%D0%D1%EB%D0%C5%BA%C5%C6%C1
http://www.bjwj88.com/productshow.asp?id=3&mnid=4869&classname=%BA%CF%D2%B3&uppage=product.asp
http://www.szbianse.com/cn/productshow.asp?id=38
http://www.cf-dz.com/productshow.asp?id=121

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077445

漏洞标题：某通用型建站系统两处SQL注射漏洞（附众多案例）

相关厂商：深圳市金锐网络技术有限公司

漏洞作者： bitcoin

提交时间：2014-09-27 20:20

修复时间：2014-12-26 20:22

公开时间：2014-12-26 20:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 bitcoin@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077445

漏洞标题：某通用型建站系统两处SQL注射漏洞（附众多案例）

相关厂商：深圳市金锐网络技术有限公司

漏洞作者： bitcoin

提交时间：2014-09-27 20:20

修复时间：2014-12-26 20:22

公开时间：2014-12-26 20:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-077445"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 bitcoin@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：