漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0163727
漏洞标题:中国电信某省分站存在布尔盲注
相关厂商:中国电信
漏洞作者: GANDALF THE WHITE
提交时间:2015-12-23 14:22
修复时间:2016-02-09 23:29
公开时间:2016-02-09 23:29
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-23: 细节已通知厂商并且等待厂商处理中
2015-12-27: 厂商已经确认,细节仅向厂商公开
2016-01-06: 细节向核心白帽子及相关领域专家公开
2016-01-16: 细节向普通白帽子公开
2016-01-26: 细节向实习白帽子公开
2016-02-09: 细节向公众公开
简要描述:
中国电信互联星空某省分站存在布尔盲注,泄露大量用户信息账号。该测试点到为止,不深入进行。
详细说明:
中国电信ChinaVnet互联星空是中国电信在ChinaNet互联网接入层业务之上提供的互联网应用层业务。互联星空的内涵是充分利用中国电信的用户资源、网络资源、应用支撑平台资源、营销网络、客户服务和宣传渠道等资源,营造互联网产业良性发展的生态环境,积极推动互联网产业链的可持续发展,创造互联网服务新的商业模式,通过自营(中国电信自身经营内容和应用业务)及聚合SP(含ICP和ASP)的内容和应用,为中国电信互联网用户提供丰富多彩的信息应用服务,实现用户、ISP、SP的多方共赢。
介绍完了,现在来看看某省互联星空网站存在的布尔盲注,泄露大量的用户信息账号。详见如下介绍。http://**.**.**.**/wj/Page/Wap/ActInduce.aspx?activtycode=123
漏洞证明:
修复方案:
1、添加防注入代码。
2、安装waf设备防御。
版权声明:转载请注明来源 GANDALF THE WHITE@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2015-12-27 21:38
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置。
最新状态:
暂无