华夏名网主站注入 会员信息与密码泄露

漏洞概要

缺陷编号:WooYun-2013-017886

漏洞标题:华夏名网主站注入 会员信息与密码泄露

相关厂商:华夏名网

漏洞作者:koohik

提交时间:2013-01-27 17:29

公开时间:2013-03-11 17:29

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2013-01-27: 细节已通知厂商并且等待厂商处理中
2013-01-28: 厂商已经确认,细节仅向厂商公开
2013-02-07: 细节向核心白帽子及相关领域专家公开
2013-02-17: 细节向普通白帽子公开
2013-02-27: 细节向实习白帽子公开
2013-03-11: 细节向公众公开

简要描述:

华夏名网主站注入

详细说明:

http://**.**.**.**/webhosting/cp/f10_sqltools_done.phpaction=getsqlused&did=483710主站所有的信息都在里面了,包括会员账号、密码、代理商账号密码、虚拟主机、VPS、域名……等信息中间有点小插曲,网站有过滤,不过可以绕过继续注入

漏洞证明:

用户比较多。这个自评20rank不为过吧?

修复方案:

你们有专业人员

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-01-28 15:01

厂商回复:

已经通知技术修补,该漏洞为较大漏洞

最新状态:

2013-12-26:已修复

评价

  1. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    主站?流弊!!!

  2. 2010-01-01 00:00 小峰子0204 白帽子 | Rank:0 漏洞数:1)

    mark

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    洞主你唯一的粉丝是我啊

  4. 2010-01-01 00:00 koohik 白帽子 | Rank:536 漏洞数:60)

    @xsser 能得到剑心大牛的关注,小菜我甚是感动啊,哈哈哈