中国云计算服务网某分站曝SQL注射漏洞

漏洞标题: 中国云计算服务网某分站SQL注射漏洞
相关厂商: 中国云计算服务网
漏洞作者: 独自等待
提交时间: 2012-10-08
公开时间: 2012-11-22
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞详情

披露状态:

2012-10-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
介绍:
中国云计算服务网是中国云计算产品与服务第一行业门户网站,是依托杭州湾云计算技术有限公司技术团队,通过长期探索和实践,重点打造的云计算产品与服务的信息共享、体验和交互平台。
说明:
中国云计算服务网某分站对参数进行正确处理,导致SQL注入漏洞。

详细说明:
注入点:
?id=51
由于没有对参数id的值进行正确处理,导致SQL注入漏洞。

漏洞证明:
发现SQL注入漏洞:
1.
?id=51

中国云计算服务网某分站曝SQL注射漏洞

2.
?id=51'

中国云计算服务网某分站曝SQL注射漏洞

3.
?id=51+and+1=1

中国云计算服务网某分站曝SQL注射漏洞