漏洞概要
关注数(24)
关注此漏洞
漏洞标题:sql查询过滤不严,大量人才信息泄露
提交时间:2012-09-13 14:01
修复时间:2012-10-28 14:02
公开时间:2012-10-28 14:02
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2012-09-13: 细节已通知厂商并且等待厂商处理中
2012-09-17: 厂商已经确认,细节仅向厂商公开
2012-09-27: 细节向核心白帽子及相关领域专家公开
2012-10-07: 细节向普通白帽子公开
2012-10-17: 细节向实习白帽子公开
2012-10-28: 细节向公众公开
简要描述:
苏州高新人才网,档案查询出现问题。在该网站可以查询不同地区的档案。查询条件是 姓名+生日。但是通过连接后台的sql查询的url,并修改url中的查询字段时,只要查询姓名他就会出现改姓名的信息,输入生日(姓名不填),他就会出现所有相同生日的人的信息。而且他的后台有好多不同地区的个人档案,都是通过url查询,好多地区的查询都有问题。
详细说明:
首先到网站的主页:http://www.sndhr.com/SNDHRWeb/YZSFW/WebPage/Aspx/Index.aspx
然后点击档案查询,姓名和生日可以任意填写(比如姓名填写一个‘王’字),点击查询
这个地区的包含这个字的姓名都会出现,而且带有个人信息。
打开查询之后的网站的源代码:
可以看到,有好多的不同网站都是通过url进行对数据库进行查询的。只要简单的对url中查询字段进行修改就可以简单的查到想要的信息。
进入:http://www.sndhr.com/FilesChaining/Default.aspx?CName=&Birthday=1988-08-08
把CName=字段置空,只设置生日,确定,就会出现所有该生日的人的信息
同样,只输入正确的人名,不输入生日同样可以查到想要的信息。
以上只是 苏州市高新区人力资源开发管理中心 的数据库库。还有好多的数据库都有问题。
比如:常熟市人力资源管理服务中心 ,只要查姓名中的一个字,他就会出现所有包含这个字的人名。
这个是网站框架的源代码,全部都能看见。
感觉个人信息放在上面太不安全了,只要动点心思,就是想看就看的。希望他们真心能够好好改一改,个人信息的泄密,很危险。
我并非针对这个网站,而是我的档案在这里,但是查不到,我才想了这个办法,直接输入名字,不用生日,就可以查询个人信息了,才知道我的生日被弄错了。。。
如果不改的话,这个漏洞就别发了,感觉不安全。
漏洞证明:
在详细说明中都有,就不举例子了。
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-09-17 23:22
厂商回复:
CNVD确认并复现所述情况,确认为不安全参数引用情形,这在很多人才网站和人力资源、社保网站的查询功能中常见。
按完全影响机密性进行评分,rank=7.79*1.0*1.3=10.127
最新状态:
暂无
