众乐活动平台建站系统存在mysql injection 严重漏洞，建设的系统包括蒙牛酸酸乳等等有一定影响力的网站。其中蒙牛酸酸乳数据库中存有大量新浪，人人用户登录的授权token信息
详细说明：开始简单简介我还以为蒙牛酸酸乳http://www.mnssr.com 是自己建设的站点，后台猜测了下后台发现是http://www.zhongle.com/ 众乐活动平台的作品，其中不乏大客户例如蒙牛，伊利等等，而且用户登录投票很多，数据库中记录了用户微博的token等信息，包括新浪人人，开心，爱粉丝等第三方token信息，信息泄露后可以发布信息，有极大的安全隐患。

注入点： http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66
 
Target:           http://www.2cto.com /index.php?app=star&mod=Index&act=detail&s=66
Host IP:          58.83.219.140
Web Server:   Apache/2.2.19 (Unix) DAV/2 PHP/5.3.0
Powered-by: PHP/5.3.0
DB Server:     MySQL >=5
Current DB:   mnssr2012
 
 

 
修复方案：

严格过滤参数
作者 lazypeople