漏洞概要
关注数(24)
关注此漏洞
漏洞标题:cnvd存在一处sql Injection
提交时间:2012-03-19 22:43
修复时间:2012-05-03 22:44
公开时间:2012-05-03 22:44
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:5
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2012-03-19: 细节已通知厂商并且等待厂商处理中
2012-03-21: 厂商已经确认,细节仅向厂商公开
2012-03-31: 细节向核心白帽子及相关领域专家公开
2012-04-10: 细节向普通白帽子公开
2012-04-20: 细节向实习白帽子公开
2012-05-03: 细节向公众公开
简要描述:
国家信息安全漏洞平台存在一处sql Injection
详细说明:
国家信息安全漏洞平台存在一处sql Injection
漏洞证明:
http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=4425'||'8
http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=44258'and'1'='1
http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=44258'and'1'='2
修复方案:
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-03-21 06:57
厂商回复:
CNVD确认注入点存在,同时已经展开自查,目前以过滤为主,同时对涉及的查询、交互功能进行代码层级的检查。
根据昨天测试结果,目前存在注入点的为动态页面,这些动态页面提示404的错误为CNVD网站持续改进过程中的未完成功能页面,如:漏洞跟踪、行业漏洞库等。根据设计原则,其他发布页面作了静态化,数据库前后台亦进行分离,因此自测试过程中暂未发现对数据库表以及相关字段进一步注入的情况。
针对以后的行业漏洞库、用户交互功能,待上线后也请各位白帽子多关注,提出改进意见,发现问题会有礼物作为良好互动。
感谢h4k3r及各位的关注。根据自测试结果,对影响情况(机密性、完整性、可用性)未按CNVD 评分进行,rank 5
最新状态:
暂无
漏洞评价:
评论
-
2012-03-19 22:51 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-03-19 22:56 |
Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)
-
2012-03-19 23:16 |
天行健 ( 路人 | Rank:20 漏洞数:3 | 业余信息安全爱好者,没事了玩一玩)
@h4k3r 你连cncert都敢搞,你娃不想混了么?
-
2012-03-19 23:19 |
Ra1nker ( 路人 | 还没有发布任何漏洞 | TeST)
-
2012-03-19 23:19 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@天行健 不是这种想法吧?要等到国外的攻击者利用么?
-
2012-03-19 23:22 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
@xsser 我也曾经想过去检测检测,但是他的速度令我抓狂。。
-
2012-03-19 23:25 |
水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )
-
2012-03-19 23:36 |
shine ( 普通白帽子 | Rank:831 漏洞数:77 | coder)
-
2012-03-19 23:38 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-03-19 23:44 |
shine ( 普通白帽子 | Rank:831 漏洞数:77 | coder)
@imlonghao 不是黑客了,哥喜好信息安全。
-
2012-03-20 08:11 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
-
2012-03-20 08:23 |
Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)
-
2012-03-20 08:26 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
-
2012-03-20 08:36 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
-
2012-03-20 08:41 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
-
2012-03-20 09:13 |
凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)
-
2012-03-20 09:21 |
梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)
-
2012-03-20 09:43 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@h4k3r 枪毙的话,提前给个妹纸;不做饿死鬼~
-
2012-03-20 09:57 |
El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)
-
2012-03-20 10:49 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
其实我想问的是CNVD和CNNVD是啥关系......
-
2012-03-20 10:49 |
whhacker ( 路人 | Rank:0 漏洞数:1 | python爱好者, 汇编爱好者)
-
2012-03-20 10:49 |
ershui ( 路人 | Rank:8 漏洞数:1 | noting)
-
2012-03-20 10:56 |
Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)
-
2012-03-20 12:45 |
p.z ( 普通白帽子 | Rank:411 漏洞数:40 )
-
2012-03-20 13:57 |
Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)
-
2012-03-20 14:08 |
lyon ( 路人 | Rank:10 漏洞数:3 | HackerTop)
搞了他没事,没搞他才叫有事呢,他们应该感谢LZ~~
-
2012-03-20 15:09 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-03-20 17:04 |
小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)
-
2012-03-20 17:23 |
冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)
-
2012-03-20 17:27 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-03-20 17:30 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
@xsser 刚看了下 貌似在维护了。那咋没人来给我回应下。
-
2012-03-20 17:31 |
shine ( 普通白帽子 | Rank:831 漏洞数:77 | coder)
确认后,在CNVD平台的漏洞报送者,可组成个人信息泄露风险委员会,以便磋商赔偿事宜!
-
2012-03-20 17:36 |
小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)
@h4k3r 恩,发现好多404啊。估计正忙着修漏洞呢,也许还有些漏洞存在但没被发现呢。
-
2012-03-20 17:39 |
Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)
-
2012-03-20 17:46 |
only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)
-
2012-03-20 17:59 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
-
2012-03-20 18:19 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
@冰锋刺客 404一直都有啊,比如漏洞分类页面,老是空白,只能用搜索进行信息查找......
-
2012-03-20 19:32 |
shine ( 普通白帽子 | Rank:831 漏洞数:77 | coder)
@Valo洛洛 @horseluke 哈哈!我就娱乐两句,漏洞是小面子是大,其实也没什么了,CNVD平台问题是很多,相信他们早已准备更新或更换系统了!
-
2012-03-20 20:03 |
梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)
他们都是有钱人……cnvd的客服q是靓号,还会员vip6……555~
-
2012-03-20 20:09 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
@梦想肥羊 做安全的,你注意的话,都是五位 六位的。你懂的
-
2012-03-20 20:11 |
水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )
-
@梦想肥羊 呵呵,CNVD白手起家,仅仅是社区性质,运行上以CNCERT为支撑。
-
@小雨 404的页面很多,对于网站的改进一直在进行。互联网变化太快,有些东西希望先做出来,虽然不完善。
-
2012-03-21 08:46 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@zeracker 我注意到了,你是7位的,这代表什么呢~
-
2012-03-21 08:47 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
@一刀终情 代表确认了,昨晚我睡个好觉,早上起来晚了
-
2012-03-21 09:35 |
El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)
-
2012-03-21 10:29 |
enab1e ( 路人 | Rank:4 漏洞数:2 | 热爱信息安全,希望能为安全作出一点点贡献...)
-
-
2012-03-21 17:18 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@cncert国家互联网应急中心 你们会给啥礼物呢,除了证书,比较好奇
-
2012-03-21 18:33 |
draGxn ( 实习白帽子 | Rank:35 漏洞数:4 | 路慢慢。。。)
-
2012-03-21 19:21 |
h4k3r ( 路人 | Rank:28 漏洞数:5 | 一个普通快乐2B的文艺青年)
@cncert国家互联网应急中心 特来喘口气,我还活着。就是没给证书。
-
2012-03-21 21:23 |
Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)
-
2012-03-23 09:43 |
Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)
-
2012-05-04 10:06 |
ubuntu ( 普通白帽子 | Rank:148 漏洞数:12 | 一切皆有可能……)
