某微信营销系统存在sql注入漏洞所有底细一览无余

漏洞详情

披露状态:

2014-02-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-04-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

sql注入漏洞,嗯,因为这个微信营销系统最重要的数据库已经可被拖库,所以自评个高rank

详细说明:

访问链接

http://www.wechatpen.com/api/app/website/list.aspx?wid=332389&acid=10379&menu_id=145128,正常

访问链接

http://www.wechatpen.com/api/app/website/detail.aspx?sn=&wid=332389&acid=%22&menu_id=145128&wxref=mp.weixin.qq.com,有惊喜



爆库:

wx.jpg



有200多个呢,不一一贴了



拿其中一个账号登陆下看看。

QQ20140223-1.png





同样也有财务,报表等数据,也可越权登陆功能。

漏洞证明:

拿其中一个账号登陆下看看。

QQ20140223-1.png





同样也有财务,报表等数据,也可越权登陆功能。

修复方案:

你们懂的

版权声明:转载请注明来源 IT P民@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价: