CSDN某频道SQL注入漏洞 | WooYun-2012-07855

漏洞概要关注数(14) 关注此漏洞

缺陷编号： WooYun-2012-07855

漏洞标题： CSDN某频道SQL注入漏洞

漏洞作者： blue

提交时间： 2012-06-04 10:33

公开时间： 2012-07-19 10:34

漏洞类型： SQL注射漏洞

危害等级：低

自评Rank： 5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：第三方不可信程序 php+字符类型注射错误信息未屏蔽 dedecms

0人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-06-04：细节已通知厂商并且等待厂商处理中
2012-06-04：厂商已经确认，细节仅向厂商公开
2012-06-14：细节向核心白帽子及相关领域专家公开
2012-06-24：细节向普通白帽子公开
2012-07-04：细节向实习白帽子公开
2012-07-19：细节向公众公开

简要描述：

使用了国内某著名CMS系统，有明显的SQL错误提示

详细说明：

使用了dedeCMS，有明显的SQL错误提示

漏洞证明：

http://articles.csdn.net/api/rss.php?tid=1'

修复方案：

intval

版权声明：转载请注明来源 blue@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2012-06-04 15:55

厂商回复：

感谢漏洞报告，现在已经修复

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2012-06-04 10:37 | Jannock ( 核心白帽子 | Rank:2418 漏洞数:214 | 关注技术与网络安全（招人中，有兴趣请私信...)
0

某著名CMS？我猜不会是那DEDE吧？@_@

1# 回复此人
2012-06-04 11:22 | 左右 ( 路人 | Rank:23 漏洞数:3 | 左右 ? 左. : 右.)
0

@Jannock @_@ DEDE是够著名的，楼上rank都快1000了，真的猛男呐

2# 回复此人
2012-06-04 13:01 | 子墨 ( 普通白帽子 | Rank:264 漏洞数:29 | 天地不仁,以万物为刍狗;圣人不仁,以百姓为...)
0

@Jannock http://articles.csdn.net/member/index.php

3# 回复此人
2012-06-04 13:03 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量，但我向往自由)
0

你的胆子真大你敢搞csdn?

4# 回复此人
2012-06-04 13:11 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
0

csdn已经做过安全了..只有xss的飘过

5# 回复此人
2012-06-04 14:13 | blue ( 普通白帽子 | Rank:779 漏洞数:70 | 我心中有猛虎，细嗅蔷薇。)
0

@自由与精神 CSDN有啥不能说的秘密？

6# 回复此人
2012-06-04 14:22 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量，但我向往自由)
0

秘密当然就不能说了，反正我是不敢搞他的

7# 回复此人
2012-06-04 15:14 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
0

我相信蒋涛前辈不会找麻烦的，反而会感谢。真正的白帽子尊重。

8# 回复此人
2012-06-04 15:48 | Jannock ( 核心白帽子 | Rank:2418 漏洞数:214 | 关注技术与网络安全（招人中，有兴趣请私信...)
0

@自由与精神不要吓人了。。嘻嘻。。。

9# 回复此人
2012-06-04 15:52 | Master ( 实习白帽子 | Rank:33 漏洞数:10 )
0

csdn，吓人。

10# 回复此人
2012-06-05 08:39 | c4rp3nt3r ( 实习白帽子 | Rank:70 漏洞数:10 | 人生的意义就在于从一个圈子跳到另一个更大...)
0

csdn吓人啊

11# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(14) 关注此漏洞

缺陷编号： WooYun-2012-07855

漏洞标题： CSDN某频道SQL注入漏洞

相关厂商： CSDN开发者社区

漏洞作者： blue

提交时间： 2012-06-04 10:33

公开时间： 2012-07-19 10:34

漏洞类型： SQL注射漏洞

危害等级：低

自评Rank： 5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：第三方不可信程序 php+字符类型注射错误信息未屏蔽 dedecms

0人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 blue@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(14) 关注此漏洞

缺陷编号： WooYun-2012-07855

漏洞标题： CSDN某频道SQL注入漏洞

相关厂商： CSDN开发者社区

漏洞作者： blue

提交时间： 2012-06-04 10:33

公开时间： 2012-07-19 10:34

漏洞类型： SQL注射漏洞

危害等级： 低

自评Rank： 5

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 第三方不可信程序 php+字符类型注射 错误信息未屏蔽 dedecms

0人收藏 收藏 var token=""; var id="7855"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 blue@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(14) 关注此漏洞

危害等级：低

漏洞状态：厂商已经确认

Tags标签：第三方不可信程序 php+字符类型注射错误信息未屏蔽 dedecms

0人收藏收藏
分享漏洞：

漏洞评价(共0人评价):

登陆后才能进行评分