当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012379

漏洞标题:湖南省全省公民人口身份信息泄漏

相关厂商:湘警网

漏洞作者: th3jun

提交时间:2012-09-19 10:32

修复时间:2012-11-03 10:32

公开时间:2012-11-03 10:32

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-19: 细节已通知厂商并且等待厂商处理中
2012-09-20: 厂商已经确认,细节仅向厂商公开
2012-09-30: 细节向核心白帽子及相关领域专家公开
2012-10-10: 细节向普通白帽子公开
2012-10-20: 细节向实习白帽子公开
2012-11-03: 细节向公众公开

简要描述:

湖南省全省公民信息泄漏,户口上有的都有!至于数据库是否被Bak不清楚,应该遭殃了!

详细说明:











网站非本人入侵,本人只做注入测试,图为入侵者挂上的TXT,
应该是走后台的一个上传页面拿到权限,但是访问时发现被删除!
http://222.247.33.3/upload.jsp 这个也是个上传
http://222.247.33.4:8000 而这台服务器 可以目录遍历
http://222.247.33.4:8000/bbs/test.jsp 存在爆出绝对路径 还有阿帕奇的应用也爆
如果MYSQL存在写入权限入侵者可以轻易拿到服务器权限!
http://222.247.33.4:8000/admin/目录下存在存在一个编辑器有安全隐患
http://222.247.33.3/manage/ 这个目录存在一个上传html无需后台密码验证可上传
入侵者很大可能利用此上传漏洞!
http://222.247.33.3/manage/upfile.htm 发现被删除!
http://222.247.33.3 公民信息的库存在于这台服务器
同C段服务器也可嗅探得到后台密码 然后查询公民信息,最后强制性使用证书!

漏洞证明:

修复方案:

加强后台等敏感信息泄漏!注入就不用我说了!
希望能做好公民信息防护,后台最好强制使用证书!

版权声明:转载请注明来源 th3jun@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2012-09-20 10:59

厂商回复:

CNVD确认并复现所述注入、上传情况,作为重要事件由CNCERT湖南分中心协调网站管理方处置。
按完全影响机密性,部分影响完整性和可用性进行评分,rank=8.97*1.1*1.6=15.787

最新状态:

暂无