漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-072746
漏洞标题:某住房公积金系统存在多处SQL注入影响较大
相关厂商:北京安泰伟奥信息技术有限公司
漏洞作者: 贫道来自河北
提交时间:2014-08-17 13:59
修复时间:2014-11-15 14:00
公开时间:2014-11-15 14:00
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-08-17: 细节已通知厂商并且等待厂商处理中
2014-08-21: 厂商已经确认,细节仅向厂商公开
2014-08-24: 细节向第三方安全合作伙伴开放
2014-10-15: 细节向核心白帽子及相关领域专家公开
2014-10-25: 细节向普通白帽子公开
2014-11-04: 细节向实习白帽子公开
2014-11-15: 细节向公众公开
简要描述:
RT,首页有木有
详细说明:
北京安泰伟奥信息技术有限公司开发的住房公积金系统存在多处SQL注入,影响较大,主要影响北方地区的住房公积金系统
官网:http://www.atwasoft.com/
官网案例
我搜集的案例:
西宁住房公积金网站
http://www.xngjj.gov.cn/Website/filelist.jsp?ColumnCode=01
http://www.xngjj.gov.cn/Website/advisoryshow.jsp?id=8440
http://www.xngjj.gov.cn/Website/newsList.jsp?ColumnCode=m0101
http://www.xngjj.gov.cn/Website/advisorylist.jsp?zx=1
金华市住房公积金管理中心永康分中心网站
http://www.ykzfgjj.com/Website/newslist.jsp?ColumnCode=m0201
http://www.ykzfgjj.com/Website/filelist.jsp?ColumnCode=02
http://www.ykzfgjj.com/Website/newsshowphoto.jsp?ColumnCode=l07
http://www.ykzfgjj.com/Website/Advisory.jsp?ColumnCode=1001
http://www.ykzfgjj.com/Website/WstcNewslist.jsp?ColumnCode=1
http://www.ykzfgjj.com/Website/newslistm8001.jsp?ColumnCode=m8001
http://www.ykzfgjj.com/Website/jlhd01.jsp?id=1
佳木斯市住房公积金网站
http://www.jmszfgjj.com/Website/WstcNewslist.jsp?ColumnCode=1
http://www.jmszfgjj.com/Website/OnlineSurveyResults.jsp?idhao=1
四平市住房公积金网站
http://www.spgjj.com/Website/newslist.jsp?ColumnCode=m0102
http://www.spgjj.com/Website/jgjj01.jsp?file=05
http://www.spgjj.com/Website/newsshowphoto.jsp?ColumnCode=m0805
http://www.spgjj.com/Website/filelist.jsp?ColumnCode=m0401&file=03 ColumnCode=m0401
辽源市住房公积金网站
http://www.lygjj.gov.cn/Website/newslist.jsp?ColumnCode=m0102
http://www.lygjj.gov.cn/Website/filelist.jsp?ColumnCode=m0401&file=03 ColumnCode=m0401
http://www.lygjj.gov.cn/Website/newsshowphoto.jsp?ColumnCode=m0805
http://www.lygjj.gov.cn/Website/fileshow1.jsp?file=03&id=16 file=03
http://www.lygjj.gov.cn/Website/contentshow.jsp?ColumnCode=m0301
黑河市住房公积金网站
http://www.hhgjj.net/Website/filelist.jsp?ColumnCode=02
http://www.hhgjj.net/Website/WstcNewslist.jsp?ColumnCode=1
黑龙江省直住房公积金网
http://www.hljszgjj.com/portal/tzgg.jsp?id=18
http://www.hljszgjj.com/portal/kfsList.jsp?wa_tb701=l02
http://www.hljszgjj.com/portal/yjjdXX.jsp?id=13
双鸭山住房公积金网站
http://www.sysgjj.com/Website/fileshow.jsp?id=5
http://www.sysgjj.com/Website/filelist.jsp?ColumnCode=02
http://www.sysgjj.com/Website/newsshowphoto.jsp?ColumnCode=l07
太原市住房公积金网站
http://www.tygjj.com/Website/filelist.jsp?ColumnCode=01
http://www.tygjj.com/Website/zxlist.jsp?ColumnCode=m0101
漏洞证明:
我就拿第二站来演示一下吧
http://www.ykzfgjj.com/Website/newslist.jsp?ColumnCode=m0201
我就直接用工具了
犹豫跑表太慢,我就不跑管理员的数据了
大家都是明白人
求审核:
http://www.wooyun.org/bugs/wooyun-2014-072509/trace/c7efb26933d06d7750f92c9cbf1fa958
http://www.wooyun.org/bugs/wooyun-2014-072580/trace/8ecbdce4180818e56427980129e7cc2e
http://www.wooyun.org/bugs/wooyun-2014-072694/trace/a274146be3cd75c584745c780348501a
http://www.wooyun.org/bugs/wooyun-2014-072698/trace/316961bd7811faa20f5fe37634a857df
http://www.wooyun.org/bugs/wooyun-2014-072732/trace/f26ca7afa85ee2e92e1bafc1585346e4
修复方案:
呵呵
版权声明:转载请注明来源 贫道来自河北@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-08-21 16:24
厂商回复:
CNVD确认所述情况,由于未能建立软件生产厂商的直接联系渠道,已经按测试案例向对应的多个CNCERT分中心下发处置。涉及信息泄露风险,rank 20
最新状态:
暂无