神刀安全网

漏洞標題: 新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞詳情

披露狀態:

2016-03-18: 細節已通知廠商並且等待廠商處理中
2016-03-22: 廠商已經主動忽略漏洞,細節向公眾公開

大概描述:

新浪api.sina.cn域名存在sql注入,涉及78个库,用户数据,聊天信息,服务器配置,交易信息等诸多敏感信息

詳細說明:

target

http://api.sina.cn/sinago/register.json?uid=8cbb26e31cdf061e&from=6049395012&wm=b207&oldchwm=14020_0001&chwm=14020_0001&imei=A0000055919C95

data

clientid=SPNS-XD-356E060B11ixozZZJhCOUkkpwPRklbkR&device=android&android_os_type=1&deviceid=8cbb26e31cdf061e&version=4.9.3&

因为涉及cdn等复杂的网络环境,复现有一定困难,最好采用sqlmap的注入方式,手工基本不能复现

漏洞驗證:

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

漏洞標題:  新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

有价值的数据太多,管理员信息,用户信息,服务器配置信息等,一个星期了,还没修

修復方案:

过滤

版權聲明:轉載請註明來源 hear7v@烏雲

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞標題: 新浪api.sina.cn域名存在SQL注入涉及78个库(大陆地区)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮