漏洞详情披露状态： 2016-04-27： 细节已通知厂商并且等待厂商处理中2016-04-27： 厂商已经确认，细节仅向厂商公开2016-05-07： 细节向核心白帽子及相关领域专家公开2016-05-17： 细节向普通白帽子公开2016-05-27： 细节向实习白帽子公开2016-06-11： 细节向公众公开简要描述：同花顺某站MySQL注射详细说明： code 区域POST /wdgpc/score/index/ HTTP/1.1 Host: sp.10jqka.com.cn User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Referer: http://sp.10jqka.com.cn/xxm/qsdetail/index/?pool_id=143&group=23 Content-Length: 26 Cookie: xxx Connection: close poolId=143&group=23&star=0code 区域注入参数#23 漏洞证明：共33个数据库，跑的太慢了修复方案：过滤版权声明：转载请注明来源 Aasron@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-04-27 13:33厂商回复：谢谢，已确认漏洞，正在进行处理。最新状态：暂无

漏洞详情披露状态： 2016-04-30： 细节已通知厂商并且等待厂商处理中2016-05-03： 厂商已经确认，细节仅向厂商公开2016-05-13： 细节向核心白帽子及相关领域专家公开2016-05-23： 细节向普通白帽子公开2016-06-02： 细节向实习白帽子公开2016-06-17： 细节向公众公开简要描述：劳动节也不能停.最近好可怕.你想要哪位明星的联系方式？（王思聪躺枪）详细说明：先是redis未授权访问http://115.182.85.139/secure/看出是新浪redis 115.182.85.139发现有黑阔来过了然后我写了个计划任务 反弹shellroot权限然后代理进内网然后发现不能访问邮箱http://10.219.18.63/ 任意上传提交的时候管理员已经关闭服务器了http://forum.internal.sina.com.cn/idc/main/list.asp存在注入进行了端口扫描手机微博开发 gaoxue [email protected]/* */可登录svn 漏洞证明：嗯找到一个微博修复后台，存在未授权访问.可以干很多事情里面可以查微博用户的信息包括邮箱手机号等等。我们看看需要什么条件吧.嗯需要uid和昵称我们拿国民老公王思聪大哥的微博做测试吧。在其个人页得到了uid和昵称修复方案：额....版权声明：转载请注明来源 scanf@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：12确认时间：2016-05-03 17:40厂商回复：感谢关注新浪安全，安全问题修复中。最新状态：暂无

漏洞详情披露状态： 2016-04-26： 细节已通知厂商并且等待厂商处理中2016-04-27： 厂商已经确认，细节仅向厂商公开2016-05-07： 细节向核心白帽子及相关领域专家公开2016-05-17： 细节向普通白帽子公开2016-05-27： 细节向实习白帽子公开2016-06-11： 细节向公众公开简要描述：富滇银行任意命令执行详细说明：富滇银行公务卡商城问题链接为： http://shop.fudian-bank.com/mall/ui/giftIndex.action存在Struts S2-032风险，如图可以上传文件、可任意代码执行 任意上传文件并解析，可得到webshell 漏洞证明：富滇银行公务卡商城问题链接为： http://shop.fudian-bank.com/mall/ui/giftIndex.action存在Struts S2-032风险，如图可以上传文件、可任意代码执行 任意上传文件并解析，可得到webshell 修复方案：建议升级strust为最新版权声明：转载请注明来源 咚咚呛@乌云漏洞回应厂商回应：危害等级：低漏洞Rank：5确认时间：2016-04-27 10:08厂商回复：已修复最新状态：暂无