WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0165894

漏洞标题：北京儿童医院集团有限公司某系统存在设计逻辑缺陷

相关厂商：北京儿童医院集团有限公司

漏洞作者： 断弦

提交时间：2015-12-31 02:24

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2015-12-31： 细节已通知厂商并且等待厂商处理中
2015-12-31： 厂商已经确认，细节仅向厂商公开
2016-01-10： 细节向核心白帽子及相关领域专家公开
2016-01-20： 细节向普通白帽子公开
2016-01-30： 细节向实习白帽子公开
2016-02-12： 细节向公众公开

简要描述：

北京儿童医院集团是由北京儿童医院发起，经主管部门批准成立的医疗管理集团。该集团以北京儿童医院为核心，与全国多家医院合作，打造兼具儿科临床医疗服务、儿科医学、护理教学、儿科临床研究和基础研究、儿童保健等多种功能的儿科医疗航空母舰。集团将向国家儿童医学中心、国际化儿科医院方向发展，借鉴国外儿童医院的先进管理模式，提供高端的儿童医疗和保健服务。
北京儿童医院集团将利用现有医疗资源，落实分级医疗和双向转诊，集中优势资源发展特色专科。同时加强科研项目的合作，促进科研技术人员的流动。集团成员医院之间将实现四个共享：专家共享、临床共享、科研共享和教学共享。一方面，满足各地疑难病患儿的诊治需求；另一方面，将优质医疗服务资源沉下去，把人才培养带上来，探索建立“患者不动、医生移动”医疗服务体制新模式，推动“看病难”问题的解决，最终使患者受益。
目前北京儿童医院集团由十七家儿童医院共同组成，分别是北京儿童医院、安徽省儿童医院、河北省儿童医院、南京市儿童医院、青海省妇女儿童医院、聊城市儿童医院、武汉市妇女儿童医疗保健中心、西安市儿童医院、郑州市儿童医院、山西省儿童医院、贵阳市儿童医院、大连市儿童医院、湖南省儿童医院、江西省儿童医院、杭州市儿童医院、柳州市妇幼保健院、深圳市儿童医院。

详细说明：

http://**.**.**.**/

漏洞证明：

POST /OAapp/WebObjects/OAapp.woa/wo/com.oa8000.mainapp.Main/4C52PFqzdOQ9xOR3E3OIBw/0.11 HTTP/1.1
Host: **.**.**.**
Content-Length: 180
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/OAapp/WebObjects/OAapp.woa
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=81990D526CAB97614B19E0A3E88F8524; __guid=215839753.1772425101917956600.1451395930982.6516; count=1; htoa8000=lili%7CBLUE%7CCN%7C
alertMsg=&confirmMsg=&userId=lili&userPwd=123456&functionName=LOGIN&screenWidth=1366&screenHeight=738&userNameInputId=&pasdInputId=&11.55=BLUE&11.56=CN&wosid=4C52PFqzdOQ9xOR3E3OIBw

修复方案：

版权声明：转载请注明来源 断弦@乌云

漏洞回应