搜狗某网站存在SQL注射漏洞

发表于 2010年07月30日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2010-0132

漏洞标题：搜狗某网站存在SQL注射漏洞

相关厂商：搜狗

漏洞作者：Liscker

提交时间：2010-07-30 09:26

公开时间：2010-08-29 12:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签：

漏洞详情

披露状态：

2010-07-30: 细节已通知厂商并且等待厂商处理中
2010-07-30: 厂商已经确认，细节仅向厂商公开
2010-08-09: 细节向核心白帽子及相关领域专家公开
2010-08-19: 细节向普通白帽子公开
2010-08-29: 细节向实习白帽子公开
2010-08-29: 细节向公众公开

简要描述：

搜狗某网站存在SQL注射漏洞

详细说明：

搜狗BBS论坛存在SQL注射漏洞，可进行导表。

漏洞证明：

http://bbs.sogou.com:80/similarBar.do?enterbar=&s=-999MySql数据库，该URL为or字符型和search型注射弱点，数据库名 saybar2 用户 [email protected]攻击者可导表获得user表。

修复方案：

过滤关键字

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2010-07-30 18:05

厂商回复：

感谢Liscker提交，我们正在抓紧修复中

最新状态：

暂无

评价

原文连接：搜狗某网站存在SQL注射漏洞 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

人人网某处SQL注入影响大量数据

人人网某处SQL注入影响大量数据

乌云某处逻辑错误导致越权

广州市农商行源码泄露（不少证件证和照片）

广州市农商行源码泄露（不少证件证和照片）

北京一路热点(16wifi)主要系统存安全漏洞可Getshell/root权限

北京一路热点(16wifi)主要系统存安全漏洞可Getshell/root权限

万惠金融PPmoney平台存在SQl注入（可能涉及敏感数据）

万惠金融PPmoney平台存在SQl注入（可能涉及敏感数据）

Discuz门户权限SSRF

16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

ChinaCache某系统JBoss配置不当导致Getshell

ChinaCache某系统JBoss配置不当导致Getshell

Flutter版本升级&版本回退

Flutter版本升级&版本回退

连不上github怎么办，10种解决方案

连不上github怎么办，10种解决方案

APP版本号命名规范及原则

APP版本号命名规范及原则

flutter解决Could not resolve all artifacts for configuration ':classpath'.

flutter解决Could not resolve all artifacts for configuration ':classpath'.

Table 'performance_schema.session_variables' doesn't exist

The iOS Simulator deployment target is set to 4.3解决

The iOS Simulator deployment target is set to 4.3解决

更新Xcode提示空间不足“Not enough free space”解决

更新Xcode提示空间不足“Not enough free space”解决

'AMapSearch-NO-IDFA' uses the unencrypted 'http' protocol to transfer the Pod解决

'AMapSearch-NO-IDFA' uses the unencrypted 'http' protocol to transfer the Pod解决

Flutter版本升级&版本回退