当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084013

漏洞标题:某通用型建站系统SQL注射

相关厂商:北京良精科技

漏洞作者: 小骇

提交时间:2014-11-24 00:53

修复时间:2015-02-22 00:54

公开时间:2015-02-22 00:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

.................

详细说明:

某通用型建站系统SQL注射。
中英文的双版建站系统。
关键字:inurl:CnProductShow.asp?id=(中文站)
inurl:EnProductShow.asp?id= (英文站)

QQ图片20141120184323.jpg


QQ图片20141120184454.jpg


案例如下:
http://www.sfiasia.com.cn/Island_Oasis/cnProductShow.asp?ID=132&productClass=45
http://www.mc2lighting.com/cnproductshow.asp?id=17
http://www.aisat.com.cn/cnProductShow.asp?id=23
http://www.kingdom-hardware.com/ware/cnproductshow.asp?ID=292
http://www.yongzhan.net/zhan/cnproductshow.asp?ID=280
http://led0579.com/cnproductshow.asp?big=42&id=444
http://www.tcmile.com/tl/cnproductshow.asp?id=27
http://www.amplestarenterprises.com/cnproductShow.asp?ID=146
http://fireworksyiwu.com/cnproductshow.asp?big=4&id=78
http://www.led0579.com/cnproductshow.asp?big=45&id=451
http://leyiduo.com/enproductshow.asp?id=117
http://www.gdolair.com/EnProductShow.asp?ID=345
http://www.sansentech.com/EnProductShow.asp?ID=117
http://www.loyaltoy.com/enProductShow.asp?ID=4111
http://eewell.com/EnProductShow.asp?ID=343
http://www.smwjw.com/sm/EnProductShow.asp?ClassID=20&ID=702
http://www.sehon.net/sh/enproductshow.asp?id=1963
http://www.econuodigital.com/enProductShow.asp?ID=281
http://www.szsuniu.com/enProductShow.asp?ID=339
http://www.dhltchem.com/EnProductShow.asp?ID=103
http://www.morewintyre.com/enProductshow.asp?ID=139
http://www.gdwenshen.com/enProductShow.asp?ID=8458
http://www.ywclock.com/web/EnProductShow.asp?ID=304

漏洞证明:

均可注入用户密码。
http://www.sfiasia.com.cn/Island_Oasis/cnProductShow.asp?ID=132&productClass=45

QQ图片20141120185453.jpg


http://www.mc2lighting.com/cnproductshow.asp?id=17

QQ图片20141120185728.jpg


http://www.aisat.com.cn/cnProductShow.asp?id=23

QQ图片20141120185820.jpg


http://leyiduo.com/enproductshow.asp?id=117

QQ图片20141120185919.jpg


http://eewell.com/EnProductShow.asp?ID=343

QQ图片20141120190154.jpg

修复方案:

..........

版权声明:转载请注明来源 小骇@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝