烏云曝新浪支付系統高危漏洞

　　今日凌晨，烏云平臺漏洞作者豬豬俠報告了新浪支付系統出現了 SQL 注入漏洞，目前新浪支付部門已確認并正在修復該漏洞。

　　漏洞概要

• 缺陷編號： WooYun-2014-76093
• 漏洞標題： 新浪支付系統 SQL 注入漏洞之一
• 相關廠商： 新浪
• 漏洞作者： 豬豬俠
• 提交時間： 2014-09-15 01:34
• 漏洞類型： SQL 注射漏洞
• 危害等級： 高
• 漏洞狀態： 廠商已經確認

　　漏洞概要

• 缺陷編號： WooYun-2014-76094
• 漏洞標題： 新浪支付系統 SQL 注入漏洞之二
• 相關廠商： 新浪
• 漏洞作者： 豬豬俠
• 提交時間： 2014-09-15 01:34
• 漏洞類型： SQL 注射漏洞
• 危害等級： 高
• 漏洞狀態： 廠商已經確認

　　SQL 注入漏洞是指通過控制傳遞給程序數據庫操作語句的關鍵變量來獲得惡意控制程序數據庫，從而獲取有用信息或者制造惡意破壞的，甚至是控制用戶計算機系統的漏洞。

　　據悉，此次漏洞的發現者“豬豬俠”之前曾發布了攜程的兩個嚴重安全漏洞，是烏云的核心白帽子黑客，發布漏洞高達 125 個。