神刀安全网

漏洞标题: 天机大数据咨询追踪引擎存在注入

漏洞详情

披露状态:

2016-03-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

月打卡。

详细说明:

主页url:http://114.119.5.9/ 我也不知道为什么域名解析不出来,只能走ip了。

漏洞标题:  天机大数据咨询追踪引擎存在注入

注入点:http://114.119.5.9/mobile/support/appInfo/4.3.1?uid=1564470&appType=0

uid存在盲注。

漏洞证明:

漏洞标题:  天机大数据咨询追踪引擎存在注入

是DBA权限,还暴露了内网地址。

漏洞标题:  天机大数据咨询追踪引擎存在注入

漏洞标题:  天机大数据咨询追踪引擎存在注入

修复方案:

都是大数据平台了,查了一下半年前还拿过500万刀的投资,怎么连域名都解析不出来。。

漏洞标题:  天机大数据咨询追踪引擎存在注入

似乎是换域名了。

参数化查询,移动端也要注意安全。

版权声明:转载请注明来源 louys@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 天机大数据咨询追踪引擎存在注入

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址