漏洞概要
关注数(24)
关注此漏洞
漏洞标题:深圳市某委员会系统存在SQL注射导致上千表泄露
提交时间:2015-05-22 12:05
修复时间:2015-07-10 10:22
公开时间:2015-07-10 10:22
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-05-22: 细节已通知厂商并且等待厂商处理中
2015-05-26: 厂商已经确认,细节仅向厂商公开
2015-06-05: 细节向核心白帽子及相关领域专家公开
2015-06-15: 细节向普通白帽子公开
2015-06-25: 细节向实习白帽子公开
2015-07-10: 细节向公众公开
简要描述:
RT
大米手机摔破了怎么办
现在才知道英文不好才要命
详细说明:
深圳市卫生和计划生育委员会科教管理信息系统
存在POST注射
http://ky.szhpfpc.gov.cn/main (POST)
method=login&fid=login&login_id=88952634&login=%EF%BF%BD%EF%BF%BD%C2%BC&password=8895263
一个一个洞慢慢来
第一个库:[*] Bsoft_HCN 【貌似是一个创业软件】
第二个库
sms
都是关于短信的吧
| dbo.tbl_SMReceived | 535133 |
那泄露五十万个号码
users
又有邮箱又有密码又有号码
第三个库
漏洞证明:
第五个库
看sysoa
hospital表
包含了各大医院的名称号码 还有领导领导 手机号码等等
第七个库
有两万多老师信息
| dbo.tech_teacher | 27474 |
反正各种信息都有
丫丫的
修复方案:
版权声明:转载请注明来源 Yang@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-05-26 10:21
厂商回复:
非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。
最新状态:
暂无