漏洞详情

披露状态:

2013-12-29: 细节已通知厂商并且等待厂商处理中
2014-01-03: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-03-26: 细节向公众公开

简要描述:

360shop,最新版淘店通2代某处SQL注入

详细说明:

360shop 最新版,淘店通2代,在添加收货地址时,选择省份和城市处存在SQL注入。

测试站点为官方最新版演示站:

http://zhangheng.v2.taodiantong.cn



测试了官方案例,老版也存在同样注入。

第一步,我们注册一个用户,添加收货地址:

1.png



第二步,在地区处,选择省份时,抓包:

2.png



在如图参数处存在注入,从图中看出明显存在sql注入。

漏洞证明:

由于官方演示站是mysql4的环境,报错注入都无法进行了。只能进行猜解。。。

如下证明:

xajaxargs[]=2 rlike if(2=1,2,0x28),这里是错误的语句,返回mysql错误信息。

3.png



输入xajaxargs[]=2 rlike if(2=2,2,0x28),正确的语句,返回正常:

4.png

修复方案:

过滤

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-01-03 19:56

厂商回复:

最新状态:

2014-01-13:谢谢提供信息,我们会立即处理


漏洞评价: