当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120749

漏洞标题:某大型在线医疗系统存在漏洞导致大量患者信息泄露

相关厂商:120.net

漏洞作者: 路人甲

提交时间:2015-06-17 11:29

修复时间:2015-08-01 11:44

公开时间:2015-08-01 11:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-17: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开

简要描述:

登陆框存在登陆绕过 。希望不要走小厂商。
---__--患者姓名电话QQ 得的什么病都很清楚。隐私全部泄露
珠海健康云科技有限公司旗下的有问必答网(www.120ask.com),120健康网(http://www.120.net/),放心医院网(http://www.fx120.net/),为全国第一大医患交流互动平台,每天聚集上百万的患者和十万以上的医生会员,借助专业的问答平台与在线即时交流的技术,赢得了无数患者的信任与支持。同时也为医生用业余时间开辟新空间的大好平台,为缓解医患矛盾,减轻社会医疗压力而承担起责任,用互联网的技术普及公众健康知识,让天下人解决健康问题变得更加简单!“有问必答网,我的家庭医生”是有问必答网的宗旨,24小时为患者的健康保驾护航,随时准备着为人们解答心里的健康疑惑。
有问必答百度权重9 120健康网百度权重 4 放心医院网百度权重 7

详细说明:

有问必答百度权重9 120健康网百度权重 4 放心医院网百度权重 7
漏洞是登陆框存在注入
http://ztc.120.net/

可以直接用万能密码登录
用户名: *' or '1'=' (星号代表账号)
密码随便

我试了几个账号: 11 admin 666666 8 5 110 12 13 20 lm cx gy cx ll 。。。。。。。。。。。。。。。
太多了
很好试出来
涉及百万真的不是问题

QQ图片20150615232433.png


QQ图片20150615233627.png


QQ图片20150615233752.png



QQ图片20150615233711.png


等等等 太多了 厂商快点修复吧 这么大系统,信息安全要重视啊

漏洞证明:

QQ图片20150615233919.png

修复方案:

修复登陆框注入点。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-17 11:43

厂商回复:

我们立刻处理。十分感谢路人甲

最新状态:

2015-06-17:已修复