当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024300

漏洞标题:商务部某平台注射一枚可导致帐号信息及部分商业信息泄漏

相关厂商:中华人民共和国商务部

漏洞作者: nauscript

提交时间:2013-05-23 10:29

修复时间:2013-07-07 10:30

公开时间:2013-07-07 10:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-23: 细节已通知厂商并且等待厂商处理中
2013-05-25: 厂商已经确认,细节仅向厂商公开
2013-06-04: 细节向核心白帽子及相关领域专家公开
2013-06-14: 细节向普通白帽子公开
2013-06-24: 细节向实习白帽子公开
2013-07-07: 细节向公众公开

简要描述:

商务部某平台注射一枚,涉及部分商业信息及大量账户、密码安全

详细说明:

商务部网站下的全国拍卖行业管理信息系统注入一枚
http://pmscjss.mofcom.gov.cn/auc/_news/newslist_common.jsp?cata=1

商务部.jpg


Oracle的库,表很多,可以读出会员信息,包括账户、密码以及涉及部分商业信息
另有一处信息泄漏,可将数据库中拍卖企业表的字段的类型及字符限制泄漏直接显示
http://pmscjss.mofcom.gov.cn/auc/merge/sql.sql

sql.jpg


对照该表中字段的泄漏信息可在库中找到相关信息

漏洞证明:

以法人代表一表为例 泄漏了近9千名拍卖公司法人代表的个人信息

 法人1.jpg


 admin.jpg


管理员帐号几乎没登录过,都是通过本地来上传的网页

商务部 cms1.jpg


用户表.jpg


仅依靠这些密码和联系的邮箱,就可很容易的社工成功了个别拍卖企业的邮箱,甚至邮箱内包含了企业内部信件及文件。。。。。。。(信息量太大了,得省略字数了)
还有7千多会员帐号信息资料、3万多名从业人员资料等等,涵盖了全国几乎所有的拍卖企业,总之信息量很大,不再深入挖掘(当然,Oracle的库还有许多可以挖掘的东西,在gov网站上不再做演示,等下次找一个试试手再写)
再进一步证明我该被跨省了吧,希望尽快修复

修复方案:

对URL中提交的参数进行严格的过滤,去除一些比如单引号、SQL关键字等字符即可。

版权声明:转载请注明来源 nauscript@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-05-25 21:18

厂商回复:

CNVD确认并复现所述漏洞情况,已在24日转由CNCERT联系上商务部所属中国国际电子商务信息中心,由其后续协调网站管理部门处置。
按完全影响机密性进行评分,rank=7.79*1.0*1.5=11.685

最新状态:

暂无