漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-038075
漏洞标题:河北省会某县最大综合门户网站登录验证绕过漏洞
相关厂商:无极在线
漏洞作者: 天使的烤翅膀
提交时间:2013-09-25 11:09
修复时间:2013-11-09 11:10
公开时间:2013-11-09 11:10
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:14
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-11-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
河北省会某县最大综合门户网站存在登录验证绕过漏洞,能轻易取得管理员权限,该网站下多个子频道:论坛、分类信息、新闻、企业等多个项目。
一旦恶意登录网站管理权限可能会被用作删除论坛帖子,使论坛等板块完全瘫痪……
详细说明:
http://www.wujiok.com/无极在线
通过百度查询:
无极城市在线简称“无极在线”是无极县最大综合门户网站。频道和子频道“无极新闻、无极企业、分类信息、商家、教育、健康、文化、时尚、丽人、鹊桥博客、无极生活”为主体栏目,一账号各子频道通用。
登录时帐号填写admin,密码' or '1'='1,即可绕过真是密码验证,登陆成功。即可进行相关管理员权限操作,被恶意利用,可能造成论坛等板块瘫痪。
漏洞证明:
修复方案:
要对用户输入的数据进行严格过滤就可以了,避免OR语句的绕过。
版权声明:转载请注明来源 天使的烤翅膀@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝