当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141955

漏洞标题:某高校sql注入可查询所有学生信息,家属信息学费等一千八百多个表太霸气了

相关厂商:CCERT教育网应急响应组

漏洞作者: 鲁尼

提交时间:2015-09-20 13:35

修复时间:2015-09-25 13:36

公开时间:2015-09-25 13:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-20: 细节已通知厂商并且等待厂商处理中
2015-09-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可查询到所有学生的信息还有一些系统配置数据,这么全的信息,从学生到亲属到联系方式到专业到活动记录,到学号到密码,社工库的拿去一定会很高兴吧,诈骗电话可以从新生入学到毕业生找工作不停歇。
“喂,你是王XX他爸王YY吗?我是XX系的辅导员李OO,今年的学费打到这张卡上。”
还要不要好好上学了。
和刚才图书馆那个站的还不是一个数据库服务器。

详细说明:

注入点在,是东华理工大学的录取信息查询接口http://202.101.244.46:86/Modules/EnrollManagement/Matriculate/EnrollMatriculateQuery.aspx
Formdata
__EVENTTARGET:
__EVENTARGUMENT:
__VIEWSTATE:/wEPDwUJNTU0MDU2NzIyZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAQUIYnV0UXVlcnlmvJzD2nvUCPU7M/vbsrCEmbKxwA==
__VIEWSTATEGENERATOR:E28EF785
txbKsh:111
txbExamineeName:阿
butQuery.x:74
butQuery.y:21
名字和号上都存在注入点,能通过该点直接注入服务器,服务器中有一千八百多张表,具体哪些表放了哪些信息就懒得看了。

漏洞证明:

注入漏洞,从表名上能看出有很多表是明显有敏感数据的

学生表.png


随便拉一个表看看,这个表中有四万多的学生基础信息

sw_studentBaseInfo.png


其他的数据就懒得看了,一个学校的数据库服务器怎么会有一千八百多张表。

修复方案:

你们懂的。

版权声明:转载请注明来源 鲁尼@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-25 13:36

厂商回复:

最新状态:

暂无