漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-079001
漏洞标题:某教育建站CMS多处sql注入(影响大量教育网站,涉及少量政企事业单位等)
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2014-10-11 17:25
修复时间:2015-01-09 17:26
公开时间:2015-01-09 17:26
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-11: 细节已通知厂商并且等待厂商处理中
2014-10-16: 厂商已经确认,细节仅向厂商公开
2014-10-19: 细节向第三方安全合作伙伴开放
2014-12-10: 细节向核心白帽子及相关领域专家公开
2014-12-20: 细节向普通白帽子公开
2014-12-30: 细节向实习白帽子公开
2015-01-09: 细节向公众公开
简要描述:
嘿嘿
详细说明:
关键词:look_page_big.asp?yiid=
注入点:yiid=、erid=
look_page_big.asp?yiid=66&erid=
look_page_2.asp?yiid=64&erid=101
例子:
http://jdx.jsit.edu.cn/look_page_big.asp?yiid=66&erid=
http://jdx.jsit.edu.cn/look_page_2.asp?yiid=64&erid=101
这个是后台地址:ad_Login.asp
漏洞证明:
大量的支撑案例,几乎都是高校网站,涉及一些政企事业单位
http://jdx.jsit.edu.cn/look_page_big.asp?yiid=66&erid=
http://sce.ecit.edu.cn/look_page_big.asp?yiid=3
http://vtc.ecit.edu.cn/look_page_big.asp?yiid=3
http://xk.nnutc.edu.cn/look_page_big.asp?yiid=20
http://zsjyc.zzrvtc.edu.cn/look_page_big.asp?yiid=18
http://jwjc.pdsu.edu.cn/look_page_big.asp?yiid=39
http://tyb.bbmc.edu.cn/look_page_big.asp?yiid=41
http://lib.heuu.edu.cn:88/xsjy/look_page_big.asp?yiid=13
http://tyb.bbmc.edu.cn/look_page_big.asp?yiid=8
http://jpkc.sziit.edu.cn/mo/www/look_page_big.asp?yiid=40
http://www.ntgs.com.cn/it/look_page_big.asp?yiid=13
http://www.czzy-edu.com/rsc/look_page_big.asp?yiid=12
http://jpkc.rzpt.cn/jpkc_xj/fwjzx/look_page_big.asp?yiid=40
http://www.xza.cn/qzlxsjjy/look_page_big.asp?yiid=20
http://www.huanxianyiyuan.com/look_page_big.asp?yiid=13
http://www.wgy.cn/ly/look_page_big.asp?yiid=32
http://jwc.snut.edu.cn/jx/shijianke/look_page_big.asp?yiid=30
http://58.193.80.5/yywz/look_page_big.asp?yiid=13
http://211.83.32.106/dqx/look_page_big.asp?yiid=40
http://www.ynpoa.cn/dir_web/hqc/look_page_big.asp?yiid=40
http://www.sebi.hk/look_page_big.asp?yiid=42
....还有很多很多
修复方案:
come on
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2014-10-16 09:12
厂商回复:
最新状态:
暂无