漏洞概要
关注数(24)
关注此漏洞
漏洞标题:12306漏洞一包裹
提交时间:2012-09-27 09:44
修复时间:2012-11-11 09:45
公开时间:2012-11-11 09:45
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-09-27: 细节已通知厂商并且等待厂商处理中
2012-09-27: 厂商已经确认,细节仅向厂商公开
2012-10-07: 细节向核心白帽子及相关领域专家公开
2012-10-17: 细节向普通白帽子公开
2012-10-27: 细节向实习白帽子公开
2012-11-11: 细节向公众公开
简要描述:
XSS、绝对路径泄漏、SQL注入(分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起.......)
详细说明:
XSS两枚:
1.
2.http://www.12306.cn//mormhweb/ggxxfw/wbyyzj/201105/t20110529_1905.jsp?height=661"}</script><script>alert(document.cookie)</script><script>{
绝对路径泄漏:
http://www.jin.12306.cn/Dzsw/action/CaptcaAction_validateQueryCaptca;jsessionid=HlvhQJPfjhC8BcL2lpQPsLCWxbFbLvH9Wy5HgrpvjgcThfDqDXHh!-1761024996#
SQL注入:
http://www.jin.12306.cn/Dzsw/action/JgxxAction_index?type=1
POST型的,抓个包,改个值,看回显:
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-09-27 17:51
厂商回复:
已确认。修补中。谢谢!
最新状态:
暂无
漏洞评价:
评论
-
2012-09-27 10:46 |
猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)
-
2012-09-27 10:51 |
Nimda ( 路人 | Rank:13 漏洞数:3 | 人的欲望就是一个超级大坑,永远也填不满。...)
-
2012-09-27 10:56 |
笑傲浆糊 ( 路人 | Rank:12 漏洞数:1 | 没死,还活在)
-
2012-09-27 11:50 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
名字太淫荡了。。你还跑库。。。你能跑动么????网站一会就打不开 一会打不开
-
2012-09-27 12:14 |
使命召唤 ( 路人 | Rank:24 漏洞数:5 | 菜鸟一个)
-
2012-09-27 12:32 |
zeracker 
( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-09-27 12:55 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
-
2012-09-27 13:00 |
pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )
-
2012-09-27 14:06 |
蚂蚁牙黑 ( 路人 | Rank:17 漏洞数:2 | 111)
-
2012-09-27 14:50 |
四先生 ( 路人 | Rank:10 漏洞数:1 | 你的热爱能走多远?我的热爱飞的过沧海!)
-
2012-09-27 15:33 |
xiaoshi ( 路人 | Rank:7 漏洞数:2 )
-
2012-09-27 15:35 |
丁小乐 ( 路人 | Rank:0 漏洞数:1 | 新手上路)
http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'
-
2012-09-27 15:45 |
Breaker ( 路人 | Rank:12 漏洞数:1 )
-
2012-09-27 15:53 |
小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)
就这站的速度 裤子还真脱不下来 这属于防脱裤新技术
-
2012-09-27 16:03 |
hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)
-
2012-09-27 16:18 |
三叶草 ( 路人 | Rank:14 漏洞数:5 | 幸福是靠自己努力的)
貌似火了...http://zone.wooyun.org/content/1156
-
2012-09-27 16:32 |
super480 ( 路人 | Rank:22 漏洞数:2 )
-
2012-09-27 16:44 |
Viigoss ( 实习白帽子 | Rank:36 漏洞数:5 | viigoss)
中国铁道科学研究院 他网站服务器上库里没多少有用的。难道你内网渗透了?
-
2012-09-27 16:55 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
-
2012-09-27 17:10 |
网络骑士 ( 实习白帽子 | Rank:43 漏洞数:4 | 低调是最NB的炫耀!高调是要被打的征兆!)
测试到100+个字段还没出现正常页面……我唯一好奇的是 这表泥玛有多少字段
-
2012-09-27 17:11 |
asmc ( 实习白帽子 | Rank:34 漏洞数:9 | 难怪会走红 有大姨妈相助)
-
2012-09-27 17:41 |
Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )
找到注入点了,试了试不敢继续了,怕被敲门。尼玛几个亿的项目,到时候都不知道怎么死的
-
2012-09-27 18:14 |
Vi0lent ( 普通白帽子 | Rank:131 漏洞数:14 | hello~)
这其实是个励志故事,告诉我们只要坚持,在烂的程序员都可以写到亿级别的项目的.鉴定完毕!
-
2012-09-27 18:26 |
网络骑士 ( 实习白帽子 | Rank:43 漏洞数:4 | 低调是最NB的炫耀!高调是要被打的征兆!)
-
2012-09-27 20:25 |
zsx ( 路人 | Rank:0 漏洞数:3 | undefined)
-
2012-09-27 20:44 |
xiya ( 路人 | Rank:5 漏洞数:1 )
-
2012-09-27 22:06 |
冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )
-
2012-09-28 00:17 |
hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)
-
2012-09-28 10:10 |
啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)
上亿的项目,最简单的最低级的防护都没有.情何以堪.
-
2012-09-28 16:16 |
搁浅 ( 路人 | Rank:5 漏洞数:1 | 关注互联网安全)
-
2012-09-29 13:04 |
小A ( 路人 | Rank:5 漏洞数:1 | 您好,我是小A。)
@Vi0lent 讲述了一个程序猿是怎样成长为攻城狮的。。。
-
2012-09-29 16:16 |
CHForce ( 路人 | Rank:0 漏洞数:1 | 路过不代表我冷漠,走路不代表没有马)
-
2012-09-30 10:08 |
Breaker ( 路人 | Rank:12 漏洞数:1 )
-
2012-10-11 09:33 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2012-10-27 21:54 |
QQ1323734696 ( 路人 | Rank:0 漏洞数:1 | 熟悉系统网络编程 网站提权 反汇编等)
-
2013-07-19 15:17 |
王小文 ( 路人 | Rank:0 漏洞数:2 | wooyun白帽子安全成员)
@啤酒 中国的钱 比较好花嘛,我们都是穷人只能看着~
-
2013-07-19 15:19 |
王小文 ( 路人 | Rank:0 漏洞数:2 | wooyun白帽子安全成员)
http://www.jin.12306.cn/Dzsw/action/JgxxAction_index?type=1%20and%201=2 如题~
-
2014-12-25 16:13 |
1c3z ( 实习白帽子 | Rank:88 漏洞数:29 | 我读书少,你可别骗我!!!)
