当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154473

漏洞标题:中国金融CIO联盟-金融时代网存在多处SQL注入漏洞涉及多名用户信息可get到管理员

相关厂商:中国金融CIO联盟

漏洞作者: 路人甲

提交时间:2015-11-20 11:01

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

金融时代网是专业的金融类资讯网站,是中国信息协会理事单位。网站旨在为广大投资者提供“搜索+门户”的综合金融资讯 服务。
同时,凭借在金融 IT领域的业务背景,网站获得强大的资源支持和众多领域中专业人士的鼎力帮助,开辟了金融信息化专区,为广大IT厂商和金融机 构提供信息交流和业务拓展的空间。
ps:友情提示,也请注意下IT安全!

详细说明:

000.png


多处存在注入:
http://www.ftimes.info/qiche_folder/qiche.php?bigtype=40
http://www.ftimes.info/ftimes/bbs/viewthread.php?tid=165832
http://www.ftimes.info/xinwen_erji.php?bigtype=1
http://www.ftimes.info/shishang_folder/shishang.php?bigtype=43
http://www.ftimes.info/m/shownews.php?id=69115
http://www.ftimes.info/jingdianlvyou_folder/jingdianlvyou.php?bigtype=23
http://www.ftimes.info/wochi_zhangtu/tiao1.php?id=601

漏洞证明:

下面是利用截图

1.png


2.png


6.png


7.png


8.png

3.png


4.png

修复方案:

对敏感字符进行过滤,加固网站服务器的安全防护!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝