酷狗某游戏分站存在SQL注射漏洞

漏洞详情

披露状态:

2014-05-21: 细节已通知厂商并且等待厂商处理中
2014-05-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

酷狗的公仔很喜欢啊 还有礼物么 求上30RANK ~~ XD

详细说明:

酷狗有个叫做乱舞江山的游戏,进去看看

注射点lwjs.kugou.com/news/list?cid=1343

用sqlmap跑下用户和库

table.png



库挺多的啊,card是点卡么。



附带一枚主站反射xss

xss.png



这个地方啦

xsscode.png

漏洞证明:

table.png

修复方案:

你们懂

版权声明:转载请注明来源 Moc@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-21 13:59

厂商回复:

最新状态:

暂无


漏洞评价: