神刀安全网

漏洞标题: 游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

漏洞详情

披露状态:

2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-14: 厂商已经确认,细节仅向厂商公开
2016-04-24: 细节向核心白帽子及相关领域专家公开
2016-05-04: 细节向普通白帽子公开
2016-05-14: 细节向实习白帽子公开
2016-05-29: 细节向公众公开

简要描述:

RT

详细说明:

code 区域
1丶http://www.8477.com/e/class/sendnumber.php?a=review_dl&callback=jQuery183020776667445898056_1457193791259&id=1 id参数
2丶http://www.8477.com/e/tags/index.php?page=1&tagname=%E7%8E%8B%E8%80%85%E8%8D%A3%E8%80%80&line=10 line参数
3丶http://www.8477.com/e/tags/index.php?page=1&tagname=%E7%8E%8B%E8%80%85%E8%8D%A3%E8%80%80&line=10&tempid=15 tempid参数

主库

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

dba权限

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

code 区域
Database: zsbs8477db 还有些表不贴出来了太多
+----------------------------------------+---------+
| Table | Entries |
+----------------------------------------+---------+
| www_92game_net_enewsappcard | 684704 |
| pre_common_remote_port | 313597 |
| pre_forum_post | 311292 |
| pre_forum_sofa | 309052 |
| www_92game_net_enewsfile_1 | 202079 |
| www_92game_net_enewsdolog | 180460 |
| www_92game_net_enewstagsdata | 132819 |
| pre_ucenter_memberfields | 66622 |
| pre_ucenter_members | 66559 |
| www_92game_net_ecms_article_index | 65232 |
| www_92game_net_ecms_article_data_1 | 65093 |
| www_92game_net_ecms_article | 65091 |
| www_92game_net_enewsmemberadd | 57318 |
| www_92game_net_enewsmember | 56894 |
| pre_common_district | 45051 |
| pre_forum_threadlog | 34651 |
| www_92game_net_enewstags | 31243 |
| www_92game_net_enewsinfovote | 28911 |
| www_92game_net_enewsmemberpub | 20567 |
| pre_common_credit_rule_log | 15554 |
| pre_home_notification | 15554 |
| pre_common_member | 14823 |
| pre_common_member_count | 14822 |
+----------------------------------------+---------+

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

漏洞证明:

code 区域
1丶http://www.8477.com/e/class/sendnumber.php?a=review_dl&callback=jQuery183020776667445898056_1457193791259&id=1 id参数
2丶http://www.8477.com/e/tags/index.php?page=1&tagname=%E7%
8E%8B%E8%80%85%E8%8D%A3%E8%80%80&line=10 line参数
3丶http://www.8477.com/e/tags/index.php?page=1&tagname=%E7%
8E%8B%E8%80%85%E8%8D%A3%E8%80%80&line=10&tempid=15 tempid参数

主库

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

dba权限

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

code 区域
Database: zsbs8477db 还有些表不贴出来了太多
+----------------------------------------+---------+
| Table | Entries |
+----------------------------------------+---------+
| www_92game_net_enewsappcard | 684704 |
| pre_common_remote_port | 313597 |
| pre_forum_post | 311292 |
| pre_forum_sofa | 309052 |
| www_92game_net_enewsfile_1 | 202079 |
| www_92game_net_enewsdolog | 180460 |
| www_92game_net_enewstagsdata | 132819 |
| pre_ucenter_memberfields | 66622 |
| pre_ucenter_members | 66559 |
| www_92game_net_ecms_article_index | 65232 |
| www_92game_net_ecms_article_data_1 | 65093 |
| www_92game_net_ecms_article | 65091 |
| www_92game_net_enewsmemberadd | 57318 |
| www_92game_net_enewsmember | 56894 |
| pre_common_district | 45051 |
| pre_forum_threadlog | 34651 |
| www_92game_net_enewstags | 31243 |
| www_92game_net_enewsinfovote | 28911 |
| www_92game_net_enewsmemberpub | 20567 |
| pre_common_credit_rule_log | 15554 |
| pre_home_notification | 15554 |
| pre_common_member | 14823 |
| pre_common_member_count | 14822 |
+----------------------------------------+---------+

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

漏洞标题:  游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

修复方案:

你懂的过滤

版权声明:转载请注明来源 黑色键盘丶@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 游戏安全之8477手游网多处注入(DBA权限/涉及几万玩家信息/卡几十万)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址