超级玩家某分站sql注射漏洞

编号23781
Urlhttp://www.wooyun.org/bug.php?action=view&id=23781
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题超级玩家某分站sql注射漏洞
漏洞类型SQL注射漏洞
厂商
白帽子L9H8
提交日期2013-05-15 16:19:00
公开日期2013-06-29 16:20:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签php+数字类型注射 数据库账户权限过高
关注数0
收藏数0
白帽评级
白帽自评rank5
厂商评级
厂商评rank0
漏洞简介
超级玩家某分站sql inject,可造成管理员和小编们的信息泄漏,另外还有7W多会员信息
漏洞细节

注入点:http://hd.sgamer.com/index.php?m=Ask&sid=101

123.png


POC

123.png


修复方案

过滤注入
给每个库分好权限,莫用root走天下

状态信息 2013-05-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-29: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝