当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08294

漏洞标题:某市机关事业社保网站存在注入,约1W4K事业单位人员社保信息泄漏

相关厂商:某市机关事业社保网

漏洞作者: 斯文的鸡蛋

提交时间:2012-06-14 15:19

修复时间:2012-07-29 15:20

公开时间:2012-07-29 15:20

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:7

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-14: 细节已通知厂商并且等待厂商处理中
2012-06-18: 厂商已经确认,细节仅向厂商公开
2012-06-28: 细节向核心白帽子及相关领域专家公开
2012-07-08: 细节向普通白帽子公开
2012-07-18: 细节向实习白帽子公开
2012-07-29: 细节向公众公开

简要描述:

SQL注入,该站涵盖该市大部分事业单位人员的社保信息,顺便说下,只要知道这些事业单位的工作人员身份证号码,基本上就可以查到他的社保信息了,默认密码6个6

详细说明:

http://www.aqsb.com.cn/detail.php?id=966


注入点一大堆

漏洞证明:

修复方案:

过滤字符,哪怕加个D盾或者是防注入系统也好

版权声明:转载请注明来源 斯文的鸡蛋@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-06-18 13:47

厂商回复:

CNVD确认并复现所述情况,已转由CNCERT安徽分中心协调处置。
近期,接收到多起省市地方人力资源和社会保障部门网站的类似情况,实名身份信息面临安全风险不容乐观。
对漏洞评分如下:
CVSS:(AV:R/AC:L/Au:NR/C:C/A:N/I:N/B:N) score:7.79(最高10分,中危)
即:远程攻击、攻击难度低、不需要用户认证,对机密性构成完全影响。
技术难度系数:1.0
影响危害系数:1.3(较严重,涉及用户实名身份信息,存在泄露风险)
CNVD综合评分:7.79*1.0*1.3=10.127

最新状态:

暂无


漏洞评价:

评论

  1. 2012-06-29 00:13 | 斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)

    貌似已经修复了

  2. 2012-07-29 15:29 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @斯文的鸡蛋 没有,我重新发了。