神刀安全网

漏洞标题: 百度云加速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)

漏洞详情

披露状态:

2016-04-06: 细节已通知厂商并且等待厂商处理中
2016-04-09: 厂商已经确认,细节仅向厂商公开
2016-04-19: 细节向核心白帽子及相关领域专家公开
2016-04-29: 细节向普通白帽子公开
2016-05-09: 细节向实习白帽子公开
2016-05-24: 细节向公众公开

简要描述:

系统似乎还没有正式上线。不清楚该系统是归小鸟云管理还是归百度云管理。目测rank不会高(高了更好)..从该网站的技术来看。应该是外包给鸟云做的
总之不是百度的服务器。
请管理员将其中敏感信息马赛克处理。谢谢。

详细说明:

在对小鸟云进行检测时发现 c段内有一个http://59.46.9.16/的百度云备案系统

漏洞标题:  百度云加速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)

如非百度系统请转交小鸟云处理!

漏洞证明:

http://59.46.9.16/map.aspx?Province=%E4%B8%8A%E6%B5%B7 此处存在注入点。

漏洞标题:  百度云加速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)

漏洞标题:  百度云加速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)

该id为后台用户,可登入

漏洞标题:  百度云加速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)

点到为止,未继续深入。

修复方案:

这么简单,你们肯定会的。

版权声明:转载请注明来源 F4ther@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 百度云加速备案系统存在mssql注入漏洞可登录后台(疑测试中系统)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址