穷游网官方APP一处SQL注入

漏洞标题 穷游网官方APP一处SQL注入 相关厂商 穷游网 漏洞作者 路人甲 提交时间 2016-05-04 11:06 公开时间 2016-06-18 11:30 漏洞类型 SQL注射漏洞 危害等级…

漏洞标题 差旅网络官方APP一个SQL注入 相关制造商 差旅网络 漏洞作者 过路人 提交时间 2016-05-04 11: 06 公共时间 2016-06-18 11: 30 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 SQL注入 漏洞详细信息 目标:差旅行网络IOS APP 测试在以下地方发现SQL注入:(注入参数oauth_token,时间盲) http://open.qyer.com/qyer/company/default_list?citys_str=52&client_id=qyer_ios&client_secret=cd254439208ab658ddf9&count=1&lat=1&lon=1&oauth_token=ab&page=1&track_app_channel=App%2520Store&amp ; track_app_version=6.8.5&安培; track_device_info=iPhone8%2C1&安培; track_deviceid=564443CC-9189-42C1-9CC9-0922116AD5 *安培; track_os=IOS%25209.3.1&安培; track_user_id=7851234&安培; v=1 漏洞证明: 用完当前数据库用户,具体是不会深入〜

修理计划: 请多指教〜 版权声明:请注明出处。居民A @乌云