乌云曝新浪支付系统高危漏洞

　　今日凌晨，乌云平台漏洞作者猪猪侠报告了新浪支付系统出现了 SQL 注入漏洞，目前新浪支付部门已确认并正在修复该漏洞。

　　漏洞概要

• 缺陷编号： WooYun-2014-76093
• 漏洞标题： 新浪支付系统 SQL 注入漏洞之一
• 相关厂商： 新浪
• 漏洞作者： 猪猪侠
• 提交时间： 2014-09-15 01:34
• 漏洞类型： SQL 注射漏洞
• 危害等级： 高
• 漏洞状态： 厂商已经确认

　　漏洞概要

• 缺陷编号： WooYun-2014-76094
• 漏洞标题： 新浪支付系统 SQL 注入漏洞之二
• 相关厂商： 新浪
• 漏洞作者： 猪猪侠
• 提交时间： 2014-09-15 01:34
• 漏洞类型： SQL 注射漏洞
• 危害等级： 高
• 漏洞状态： 厂商已经确认

　　SQL 注入漏洞是指通过控制传递给程序数据库操作语句的关键变量来获得恶意控制程序数据库，从而获取有用信息或者制造恶意破坏的，甚至是控制用户计算机系统的漏洞。

　　据悉，此次漏洞的发现者“猪猪侠”之前曾发布了携程的两个严重安全漏洞，是乌云的核心白帽子黑客，发布漏洞高达 125 个。