cmstop媒体云SQL注入漏洞

### 简要描述： 媒体云真是方便，直接注册就建立一个网站了，但是如果云出了漏洞呢？ ### 详细说明： CmsTop 媒体云 作为媒体云时代的开创者，思拓合众颠覆了传统的软件采购和项目外包模式，与传媒集团建立战略合作伙伴关系，以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源，共同建设和运营媒体云。 想象是美好的，现实呢，现实是，媒体云后台管理存在sql注入漏洞 我们随便注册一个账号（http://www.cmstop.cn/），然后访问用户功能 http://site.cmstop.cn/#/member/index/index?state=enable 进行搜索的时候：nickname参数未过滤，导致sql注入漏洞 [<img src="https://images.seebug.org/upload/201508/212338331e9c473e764bb0e14e0dc07907dad02a.gif" alt="sql1.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201508/212338331e9c473e764bb0e14e0dc07907dad02a.gif) 得到数据库名为：cloud_data 同理数据库用户名为：10.162.64.228@23416 这下在云上的网站的数据都将要受到威胁了 ### 漏洞证明： 注册一个账号： http://www.cmstop.cn/ 访问http://site.cmstop.cn/member/index/userlists?nickname=x'and+1=1%23&page=1&pagesize=10&state=enable 和 http://site.cmstop.cn/member/index/userlists?nickname=x'and 1=2%23&page=1&pagesize=10&state=enable 返回结果不一样