漏洞概要
关注数(24)
关注此漏洞
漏洞标题:建设银行某市分行网站系统漏洞涉及内部信息
提交时间:2016-05-20 18:20
修复时间:2016-07-08 17:40
公开时间:2016-07-08 17:40
漏洞类型:内部绝密信息泄漏
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-05-20: 细节已通知厂商并且等待厂商处理中
2016-05-24: 厂商已经确认,细节仅向厂商公开
2016-06-03: 细节向核心白帽子及相关领域专家公开
2016-06-13: 细节向普通白帽子公开
2016-06-23: 细节向实习白帽子公开
2016-07-08: 细节向公众公开
简要描述:
建设银行某市分行网站系统漏洞涉及内部信息
详细说明:
主要是一个注入点
通过注入得到账号密码123123
漏洞证明:
由于权限比较大,所以我在收藏中找到一份文档,记录了各大系统登录地址及方法
江西省OA系统
连host文件都给出来了,直接配置解析一下DNS即可登录
总行EIP系统
金融业网间互联综合前置系统,前置机是什么系统知道吧。
SMIS系统、身份证CICS系统
反洗钱系统及DCM系统
SMIS2.0系统
ODSB综合数据系统
这个系统就厉害了
系统太多,我直接贴地址,请管理员mask一下吧
因为涉及到太多银行系统,我就不绑定host进行实际操作,并且有些处在内网,不过都是提供了账号密码的,这为以后留下了许多隐患
有上传图片的地方,并且数据库为sa权限可执行命令,并且开放3389外连
问题很多,不深入了
修复方案:
1.修复注入
2.杜绝弱口令
3.不要敏感的系统操作文档或备份放在公网上
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2016-05-24 17:39
厂商回复:
CNVD确认所述情况,已经转由CNCERT直接通报给建设银行集团公司,由其后续协调网站管理部门处置.
最新状态:
暂无