漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141955
漏洞标题:某高校sql注入可查询所有学生信息,家属信息学费等一千八百多个表太霸气了
相关厂商:CCERT教育网应急响应组
漏洞作者: 鲁尼
提交时间:2015-09-20 13:35
修复时间:2015-09-25 13:36
公开时间:2015-09-25 13:36
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-20: 细节已通知厂商并且等待厂商处理中
2015-09-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
可查询到所有学生的信息还有一些系统配置数据,这么全的信息,从学生到亲属到联系方式到专业到活动记录,到学号到密码,社工库的拿去一定会很高兴吧,诈骗电话可以从新生入学到毕业生找工作不停歇。
“喂,你是王XX他爸王YY吗?我是XX系的辅导员李OO,今年的学费打到这张卡上。”
还要不要好好上学了。
和刚才图书馆那个站的还不是一个数据库服务器。
详细说明:
注入点在,是东华理工大学的录取信息查询接口http://202.101.244.46:86/Modules/EnrollManagement/Matriculate/EnrollMatriculateQuery.aspx
Formdata
__EVENTTARGET:
__EVENTARGUMENT:
__VIEWSTATE:/wEPDwUJNTU0MDU2NzIyZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAQUIYnV0UXVlcnlmvJzD2nvUCPU7M/vbsrCEmbKxwA==
__VIEWSTATEGENERATOR:E28EF785
txbKsh:111
txbExamineeName:阿
butQuery.x:74
butQuery.y:21
名字和号上都存在注入点,能通过该点直接注入服务器,服务器中有一千八百多张表,具体哪些表放了哪些信息就懒得看了。
漏洞证明:
注入漏洞,从表名上能看出有很多表是明显有敏感数据的
随便拉一个表看看,这个表中有四万多的学生基础信息
其他的数据就懒得看了,一个学校的数据库服务器怎么会有一千八百多张表。
修复方案:
你们懂的。
版权声明:转载请注明来源 鲁尼@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-09-25 13:36
厂商回复:
最新状态:
暂无