漏洞详情披露状态： 2016-05-07： 细节已通知厂商并且等待厂商处理中2016-05-11： 厂商已经确认，细节仅向厂商公开2016-05-21： 细节向核心白帽子及相关领域专家公开2016-05-31： 细节向普通白帽子公开2016-06-10： 细节向实习白帽子公开2016-06-25： 细节向公众公开简要描述：rt详细说明：WooYun: 51.com某站点MySQL盲注 修复不善，同一位置game参数仍存在注入mysql time-based blindcode 区域Parameter: game (POST) Type: AND/OR time-based blind Title: MySQL >= 5.0.12 AND time-based blind (SELECT) Payload: a=generate_order&game=1 AND (SELECT * FROM (SELECT(SLEEP(5)))SEIL)&money=500&server=1&username=chtrkovh 漏洞证明： 修复方案：过滤版权声明：转载请注明来源 xyntax@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-05-11 15:15厂商回复：感谢，该漏洞为我们 合作伙伴部分数据，在技术上并没有关联，并不涉及真正的核心数据库。 但还是感谢乌云的小伙伴最新状态：暂无

漏洞详情披露状态： 2016-06-06： 细节已通知厂商并且等待厂商处理中2016-06-07： 厂商已经确认，细节仅向厂商公开2016-06-07： 厂商已经修复漏洞并主动公开，细节向公众公开简要描述：在她直播的时候可以上了她 的 账号！详细说明：http://www.69xiu.com/rank拿主站一个正在直播的女主播演示一下进入直播页面可以看到妹子正在卖力的直播中，个人页面存在信息泄露，可获取到主播的邮箱地址email":"[email protected]/* */密码找回的功能也存在信息泄露，可利用邮箱重置密码（为了不影响厂商业务，犹豫了一下还是拿我自己的演示吧）漏洞证明：http://www.69xiu.com/my/checkemail/findpwd/输入邮箱找回密码可以看到只要知道code就能构造重置链接response这里又泄露了当然 女主播的也一样is_findpwd_email=a:4:{s:8:"sendtime";i:1464837456;s:6:"verify";s:32:"9d591fd9e63ce54529f589c27c4e4357";s:5:"email";s:17:"[email protected]/* */";s:6:"mobile";s:0:"";};http://www.69xiu.com/my/checkemail/isfindpwd/?code=9d591fd9e63ce54529f589c27c4e4357所以，在她直播的时候可以上了她 的 账号就不进一步演示了。。。还有好多女主播，列举几个code 区域MPT.Config("objRid", 71094697); MPT.Config("objArtist", {"baseInfo":{"uid":"19971567","nickname":"\u51ef\u6492\u5927\u5e1d111","sex":"2","email":"[email protected]/* */MPT.Config("objRid", 71096441);MPT.Config("objArtist", {"baseInfo":{"uid":"19972437","nickname":"AK\u4e36 \u7cd6\u679c","sex":"2","email":"[email protected]/* */"MPT.Config("objRid", 71074401);MPT.Config("objArtist", {"baseInfo":{"uid":"19961505","nickname":"\u70ed\u821e\u8587\u513f\u65b0\u4eba\u6c42","sex":"2","email":"[email protected]/* */" 修复方案：email/code别返回版权声明：转载请注明来源 getshell1993@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：18确认时间：2016-06-07 15:12厂商回复：漏洞已修复，高兴您对69秀的关注！最新状态：2016-06-07：漏洞已修复,非常感谢！

漏洞详情披露状态： 2016-05-05： 细节已通知厂商并且等待厂商处理中2016-05-09： 厂商已经确认，细节仅向厂商公开2016-05-19： 细节向核心白帽子及相关领域专家公开2016-05-29： 细节向普通白帽子公开2016-06-08： 细节向实习白帽子公开2016-06-23： 细节向公众公开简要描述： 详细说明：腾讯微云远程命令执行执行命令结果漏洞证明：命令结果appadmin修复方案：你们懂的版权声明：转载请注明来源 pwnsh4d0w@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-05-09 12:45厂商回复：非常感谢您的报告，此问题我们已经第一时间紧急处理。感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，最新状态：暂无