漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0154473
漏洞标题:中国金融CIO联盟-金融时代网存在多处SQL注入漏洞涉及多名用户信息可get到管理员
相关厂商:中国金融CIO联盟
漏洞作者: 路人甲
提交时间:2015-11-20 11:01
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
金融时代网是专业的金融类资讯网站,是中国信息协会理事单位。网站旨在为广大投资者提供“搜索+门户”的综合金融资讯 服务。
同时,凭借在金融 IT领域的业务背景,网站获得强大的资源支持和众多领域中专业人士的鼎力帮助,开辟了金融信息化专区,为广大IT厂商和金融机 构提供信息交流和业务拓展的空间。
ps:友情提示,也请注意下IT安全!
详细说明:
多处存在注入:
http://www.ftimes.info/qiche_folder/qiche.php?bigtype=40
http://www.ftimes.info/ftimes/bbs/viewthread.php?tid=165832
http://www.ftimes.info/xinwen_erji.php?bigtype=1
http://www.ftimes.info/shishang_folder/shishang.php?bigtype=43
http://www.ftimes.info/m/shownews.php?id=69115
http://www.ftimes.info/jingdianlvyou_folder/jingdianlvyou.php?bigtype=23
http://www.ftimes.info/wochi_zhangtu/tiao1.php?id=601
漏洞证明:
修复方案:
对敏感字符进行过滤,加固网站服务器的安全防护!
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝