国内知名情趣用品趣网一处SQL注入漏洞(用户隐私泄露不是闹着玩的)

漏洞概要

缺陷编号:WooYun-2015-0123841

漏洞标题:国内知名情趣用品趣网一处SQL注入漏洞(用户隐私泄露不是闹着玩的)

相关厂商:qu.cn

漏洞作者:小龙

提交时间:2015-07-05 11:51

公开时间:2015-08-19 21:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-05: 细节已通知厂商并且等待厂商处理中
2015-07-05: 厂商已经确认,细节仅向厂商公开
2015-07-15: 细节向核心白帽子及相关领域专家公开
2015-07-25: 细节向普通白帽子公开
2015-08-04: 细节向实习白帽子公开
2015-08-19: 细节向公众公开

简要描述:

不少开豪车的都已经按耐不住了。。。

详细说明:

其APP下载多达3.9万

本来这些东西都是最个人隐私的了。。。对外公开的话就。。。。

漏洞证明:

修复方案:

1:过滤注入,把'转换成单撇号/

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-07-05 21:43

厂商回复:

感谢提供漏洞详情

最新状态:

暂无

评价

  1. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    。。。你最近很喜欢搞这类网站啊

  2. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    @px1624 学姿势啊。。庞总传授几招啊

  3. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @px1624 支持庞总,招到司机了吗??

  4. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    @wefgod 呵呵,还司机?庞总最近在闷声做大事呢,我不会透漏消息给你的,哈哈,庞总用的可是外星人笔记本

  5. 2010-01-01 00:00 随随意意 白帽子 | Rank:125 漏洞数:14)

    ST小龙?

  6. 2010-01-01 00:00 带头大哥 白帽子 | Rank:142 漏洞数:15)

    666

  7. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    我去,小厂商变大厂商了- -意想不到。。。

  8. 2010-01-01 00:00 pyphrb 白帽子 | Rank:40 漏洞数:3)

    是不是深夜,难眠啊,你的妹子呢

  9. 2010-01-01 00:00 随随意意 白帽子 | Rank:125 漏洞数:14)

    @pyphrb 这是群里那个?

  10. 2010-01-01 00:00 pyphrb 白帽子 | Rank:40 漏洞数:3)

    @随随意意 不是群里的

  11. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    @鸿巨科技有限公司 才给8分啊,囧,这种上万数据都没4分之二的rank。。。你们应该制定下评分标准哈。。

  12. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    @小龙 说明用户信息隐私就是闹着玩的,给你8分是看得起你OK?这就是厂商态度,希望还有续集,加油!

  13. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    @’‘Nome WooYun: 趣网旗下品酒网一处SQL注入(厂商修复没有一系列的流程导致躺枪) 连续剧,^_^

  14. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @小龙 明白,支持庞总壮大生意

  15. 2010-01-01 00:00 my强哥 白帽子 | Rank:0 漏洞数:0)

    我去第一个人居然是我大绵阳的人..............

  16. 2010-01-01 00:00 Wooyun第一大屌 白帽子 | Rank:0 漏洞数:0)

    厂商没有送小礼品“飞机杯”,”TT“,"韩红版充气娃娃"。 给洞主嘛?

  17. 2010-01-01 00:00 卡卡 白帽子 | Rank:434 漏洞数:38)

    ecshop...