申通快递(STO)官网(www.sto.cn)爆注入漏洞 

申通快递(STO)官网(www.sto.cn)爆注入漏洞

申通快递(STO)官网(www.sto.cn)爆注入漏洞

申通快递(STO)官网(www.sto.cn)爆注入漏洞

刚才去申通快递官网查询一个邮件,点了一个链接,然后习惯性的检测了下,然后就发现了这个蛋疼的注入漏洞,如上图所示。

这是一个很明显的 Sql Inject,结构为:Asp + Mysql,而且这几个管理员密码居然还是明文的……

后来又去检查了下其他页面,发现该站实际上到处都是注入漏洞,本人表示相当的无语……

该程序缺陷已通知申通快递官方,请各位同学不要继续搞了,免引起不必要的麻烦。。。。。。

同时坐等乌云各种装逼犯,提交所谓的漏洞……

PS:

据我所知,有人长期收购此类数据库,貌似价钱还不错,虽然这个不是主库,但必定在公司内网,稍微深透一下行了,估计很好搞。。。

申通主站这么明显的漏洞,估计有很多人搞过了吧……

留言评论(旧系统):

【匿名者】 @ 2012-02-21 13:25:55

果然被拿去提交了,核总,乌云不要脸的2b多吗?哈哈

本站回复:

乌云装逼犯很多,我找到两个链接,不知道你说的是哪个。 但是这两个,提交时间有点不正确啊,其中一个描述基本和我一样。 http://www.wooyun.org/bugs/wooyun-2010-04591 http://www.wooyun.org/bugs/wooyun-2010-04077