当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123413

漏洞标题:好视力唯一官方商城12枚SQL注入打包集合

相关厂商:北京好视力科技发展有限公司

漏洞作者: 凌零1

提交时间:2015-07-03 09:17

修复时间:2015-08-17 09:18

公开时间:2015-08-17 09:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

以前想戴好视力,可买不起

详细说明:

1.http://www.haoshili.com.cn/brand_information.php?fid=2
2.http://www.haoshili.com.cn/brand_information_show.php?id=2
3.http://www.haoshili.com.cn/gongyi1.php?id=2
4.http://www.haoshili.com.cn/gongyi_show.php?id=2
7.http://www.haoshili.com.cn/shop/index.php?sorts=2
5.http://www.haoshili.com.cn/zhuanqu/article_frame.php?
id=364&page=1
6.http://www.haoshili.com.cn/zhuanqu/eye2_frame.php?
id=346&page=1
7.http://www.haoshili.com.cn/zhuanqu/eye3_frame.php?
id=357&page=1
8.http://www.haoshili.com.cn/zhuanqu/eye4_frame.php?
id=221&page=1
9.http://www.haoshili.com.cn/zhuanqu/eye_frame.php?id=361&page=1
10.http://www.haoshili.com.cn/shop/experts.php?act=list&page=\
11.http://www.haoshili.com.cn//shop/goods.php?id=274&page=
%5c&t=sd
12.http://www.haoshili.com.cn//shop/index.php?act=sort

漏洞证明:

几乎都是盲注,把level 设置为三就可以了
以http://www.haoshili.com.cn/brand_information.php?fid=2证明

UP9F[@A@%G57PIOZ)C45LQA.png


N$KVI[3~I`53NSOF1~N2F]O.png


GZIVNWBP$5TQS7GQ~FL8@%U.png

修复方案:

没钱买眼镜,要不送我一个镜框吧!

版权声明:转载请注明来源 凌零1@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝