漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-077357
漏洞标题:某企业建站存在SQL注入漏洞(影响陕西近百家企业站)
相关厂商:西安企方网络科技有限公司
漏洞作者: creep
提交时间:2014-09-26 14:39
修复时间:2014-12-25 14:40
公开时间:2014-12-25 14:40
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-09-26: 细节已通知厂商并且等待厂商处理中
2014-09-29: 厂商已经确认,细节仅向厂商公开
2014-10-02: 细节向第三方安全合作伙伴开放
2014-11-23: 细节向核心白帽子及相关领域专家公开
2014-12-03: 细节向普通白帽子公开
2014-12-13: 细节向实习白帽子公开
2014-12-25: 细节向公众公开
简要描述:
某企业建站存在SQL注入漏洞(影响陕西近百家企业站)
详细说明:
官网:http://www.xanet.cc/
直接google hack搜索“华企立方提供技术支持后台管理 inurl:index.php?m=Index”
注入点出现在id和catid参数上。
案例:
1.陕西南江渡生态农林科技有限公司http://www.sxnjd.com/index.php?m=Index&a=lists&catid=74
2.杨凌圣桑绿色食品有限公司http://www.shengsang.com/index.php?m=Index&a=shows&catid=97&id=141
3.陕西西凤酒股份有限公司http://www.sxxfj.com/index.php?m=Index&a=shows&catid=20&id=229
4.陕西叶亚利担保有限公司http://www.yyldb.com/index.php?m=Index&a=shows&catid=103&id=182
5.西安思坦仪器股份有限公司http://www.xasitan.com/index.php?m=Index&a=lists&catid=74
6.西安红旗制动厂http://www.xahqzd.com/index.php?m=Index&a=lists&catid=94
7.小杨烤肉-西安众合餐饮服务管理有限公司http://www.xiaoyangkaorou.com/index.php?m=Index&a=shows&catid=113&id=460
8.雅绣家居体验馆http://www.yaxiushop.com/index.php?m=Index&a=lists&catid=94
.............(还有很多,不一一举例了)
后台登陆页面是长这样的。。。
漏洞证明:
拿第一个站点和第二个站点演示
修复方案:
过滤
版权声明:转载请注明来源 creep@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2014-09-29 10:56
厂商回复:
最新状态:
暂无