[公开漏洞]新东方分站博客SQL注射漏洞
-
来源:WooYun 浏览:661次 时间:2014-06-17
新东方分站博客SQL注射漏洞
相关厂商:
新东方
漏洞作者:岩少
提交时间:2014-06-12 12:17
公开时间:2014-06-17 12:18
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:http://www.wooyun.org
Tags标签:
Mysql
注射技巧
漏洞详情
披露状态:
2014-06-12:细节已通知厂商并且等待厂商处理中
2014-06-17:厂商已经主动忽略漏洞,细节向公众公开
求礼物。
详细说明:漏洞存在页面:http://qiantu.xdf.cn/blog/BlogAdmin/Include/caseCommentList.jsp?ArticleID=1
1.大概有200多张表把。
Target: http://qiantu.xdf.cn/blog/BlogAdmin/Include/caseCommentList.jsp?ArticleID=1
Host IP:116.213.70.108
Web Server: nginx/0.8.54
DB Server: MySQL error based
Resp. Time(avg):138 ms
Current User: liuxue@app.liuxue.bjidc.cn
Sql Version: 5.1.45-community-log
Current DB: liuxue
System User: liuxue@app.liuxue.bjidc.cn
Host Name: db.liuxue.bjidc.cn
Installation dir: /usr/local/mysql/
DB User: 'liuxue'@'172.17.64.0/255.255.255.0'
Data Bases: information_schema
liuxue
Target: http://qiantu.xdf.cn/blog/BlogAdmin/Include/caseCommentList.jsp?ArticleID=1
Host IP:116.213.70.108
Web Server: nginx/0.8.54
DB Server: MySQL error based
Resp. Time(avg):138 ms
Current User: liuxue@app.liuxue.bjidc.cn
Sql Version: 5.1.45-community-log
Current DB: liuxue
System User: liuxue@app.liuxue.bjidc.cn
Host Name: db.liuxue.bjidc.cn
Installation dir: /usr/local/mysql/
DB User: 'liuxue'@'172.17.64.0/255.255.255.0'
Data Bases: information_schema
liuxue
修复方案:
相信你们会的,新东方有木有礼物卅===
版权声明:转载请注明来源 岩少@乌云 漏洞回应 厂商回应:危害等级:无影响厂商忽略
忽略时间:2014-06-12 12:17
厂商回复: 最新状态:暂无