手机行业安全之宇龙通信(酷派)多出处SQL注射(目测暴露用户简历)

漏洞概要

缺陷编号:WooYun-2015-0126495

漏洞标题:手机行业安全之宇龙通信(酷派)多出处SQL注射(目测暴露用户简历)

相关厂商:yulong.com

漏洞作者:DloveJ

提交时间:2015-07-13 16:49

公开时间:2015-08-28 10:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-24: 细节向核心白帽子及相关领域专家公开
2015-08-03: 细节向普通白帽子公开
2015-08-13: 细节向实习白帽子公开
2015-08-28: 细节向公众公开

简要描述:

手机行业安全之宇龙通信(酷派)SQL注射(可暴露用户简历)

详细说明:

登录,修改简历

经过测试以下修改处存在注入!0x00个人信息》编辑>保存》抓包

0x01联系方式》编辑》保存》抓包

0x02技能/爱好》编辑》保存》抓包

》》》》》刚才看到厂商把洞确认了,没想到评了个低,没心情一个一个写了,直接跑吧,其他自己查!!《《《《《0x03其中的一个包

交给sqlmap

这表示是什么,我不知道,自及看吧!

漏洞证明:

坐在这里写这么多,就不能给个20,上一个给低,这样真的好么?

修复方案:

给个高20rank可好?

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-1409:58

厂商回复:

您好,我们秉着公平公正的原则,依据漏洞发现难度、利用难度、造成的危害程度对漏洞做出较中肯的评价,感谢您对酷派安全的关注。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 http://www.wooyun.org/corps/江苏苏宁易购电子商务有限公司 白帽子 | Rank:0 漏洞数:0)

    大牛边拿卡边发洞哈。

  2. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @江苏苏宁易购电子商务有限公司 你是刚才发购物卡的帅哥,@@

  3. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @江苏苏宁易购电子商务有限公司 挖了个你们的洞,没审核呢