漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某人力资源系统多处SQL注射/目录遍历/越权访问添加管理员(用户密码明文存储)
漏洞作者: 魇
提交时间:2014-07-17 16:46
修复时间:2014-10-15 16:50
公开时间:2014-10-15 16:50
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-07-17: 细节已通知厂商并且等待厂商处理中
2014-07-22: 厂商已经确认,细节仅向厂商公开
2014-07-25: 细节向第三方安全合作伙伴开放
2014-09-15: 细节向核心白帽子及相关领域专家公开
2014-09-25: 细节向普通白帽子公开
2014-10-05: 细节向实习白帽子公开
2014-10-15: 细节向公众公开
简要描述:
感觉通用的洞都是后娘生的..
提交了要等审核,漫长的审核后还要纠结是否前台..
详细说明:
WooYun: 某人力资源系统任意文件下载(多家人力资源网存在问题) 有人提交过了
cncert国家互联网应急中心确认厂商为浙江天正思维信息技术有限公司(www.zjtzsw.com)
以www.dqlm.com(德清人力资源网)示例一个:
密码明文存储,随便跑了几个测试下登录
漏洞证明:
多处目录遍历:
主要说说/admin/user/目录,该目录未授权访问,可以随意添加内部用户,赋予管理员权限
如:http://www.dqlm.com/admin/user/
http://www.lhrlzyw.com/admin/user/
http://www.lhjy.gov.cn/admin/user/
http://www.zjdeqing.lm.gov.cn/admin/user/
http://www.fzjob.net:9090/admin/user/
http://220.176.122.18:9090/admin/user/
(可以自己访问一下验证通用性)
目录下访问addnew.jsp可添加内部用户,然后访问select.jsp可变更用户赋权
lhjy.gov.cn (临海市人力资源网)为例:
访问http://www.lhjy.gov.cn/admin/user/select.jsp 点击查询,就可以看见刚才添加的用户(也可以删除,修改,权限分配其他用户)
全部勾选保存后我们再来登录刚才添加的帐号看看 (默认的后台登录页面为www.lhjy.gov.cn/admin/)
包括身份证,姓名,联系方式等大量个人以及单位用户敏感信息,而且是明文密码
修复方案:
可以脱裤了都,尽快处理通报涉及网站,这系统问题很多。
版权声明:转载请注明来源 魇@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-07-22 14:45
厂商回复:
CNVD仍未建立与软件生产厂商的处置渠道,按上次漏洞处置流程,转由CNCERT下发给山东和浙江分中心处置相关政府上案例。
最新状态:
暂无