简介:
=============
目前包括应用程序和所有Facebook用户浏览。
该服务是一个外部的第三方应用程序在香港恒生银行赞助。
(卖方主页:http://apps.facebook.com/hangseng_mpf_ajax/)
Facebook是一个社交网络服务网站开通于2004年2月,经营和私有
通过Facebook,公司截至2011年7月,Facebook已经超过750万活跃用户。用户可以创建
个人档案,添加其他用户的朋友,交流信息,包括自动通知
他们更新他们的个人资料。 Facebook的用户必须注册,然后使用该网站。此外,用户可参加
共同兴趣的用户群体,组织工作场所,学校或学院,或其他特征。
(厂商的网站:http://en.wikipedia.org/wiki/Facebook)
摘要:
=========
漏洞实验室的研究人员发现了一个第三方Web应用程序的远程SQL注入漏洞 – 恒生强积金阿贾克斯队(apps.facebook.com)。
报告时间安排:
================
2011年9月5日:卖方通知
2011年9月8日:供应商响应/反馈
2011年9月24日:卖方修复/补丁
2011年9月26日:公开或不公开披露
状态:
========
发布
详细说明:
========
SQL注入漏洞检测hangsengs强积金AJAX Facebook应用程序(apps.facebook)。
该漏洞允许攻击者(远程)注入/执行自己的SQL语句,对受影响的FB应用DBMS。
弱势模块(S):
[+]恒生强积金的Ajax – FACEBOOK的第三方应用程序
弱势PARAM:[+] ?id=
受影响的应用:
[+] http://apps.facebook.com/hangseng_mpf_ajax/
— SQL错误日志—
无效的查询:您有一个在您的SQL语法错误;检查手册,对应你的MySQL服务器
版本使用正确的语法附近 – 行从第1整个查询:选择 select from article where id=
—
无效的查询:您有一个在您的SQL语法错误;检查手册,对应你的MySQL服务器
使用正确的语法,在1号线整个查询附近的版本:选择其中select * from article where id=-1
—
Comments