当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016822

漏洞标题:公务员工资查询系统SQL注入漏洞,泄露个人隐私

相关厂商:陕西省省级及各市工资查询系统

漏洞作者: theduyao

提交时间:2013-01-02 13:11

修复时间:2013-02-16 13:12

公开时间:2013-02-16 13:12

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-02: 细节已通知厂商并且等待厂商处理中
2013-01-04: 厂商已经确认,细节仅向厂商公开
2013-01-14: 细节向核心白帽子及相关领域专家公开
2013-01-24: 细节向普通白帽子公开
2013-02-03: 细节向实习白帽子公开
2013-02-16: 细节向公众公开

简要描述:

陕西省省级及各市工资查询系统存在字符型SQL注入漏洞,泄露个人隐私,可查公务员工资哦...

详细说明:

陕西省省级及各市工资查询系统的下载中心页面如下:
http://61.185.224.56/gwcx/informationAction.do?m=loaddetail&id=13564925723197B3925492345F5F24E6614FB90073C58
此处ID未过滤,产生字符型SQL注入漏洞。
见下图,大家都懂的。。

5.JPG


6.JPG


有库就可以查公务员工资了哦...

7.JPG


漏洞证明:

1.JPG


3.JPG

修复方案:

修补SQL注入,你们更专业。

版权声明:转载请注明来源 theduyao@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-01-04 16:54

厂商回复:

CNVD确认漏洞情况,并已转由CNCERT陕西分中心直接协调网站管理方处置。
按完全影响机密性进行评分,基本危害评分7.79(高危),发现技术难度系数1.0,涉及行业或单位影响系数1.4,综合rank=7.79*1.5=11.685

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-02 13:27 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    洞主,你的公务员考试成绩已经EMS了,快开门查收。

  2. 2013-01-02 13:56 | 小菜 ( 路人 | Rank:6 漏洞数:2 | 菜鸟一个,等有一天变成大牛了,还是叫小菜...)

    弱弱的问一下;基本上待遇都多少啊,求详细····例如税务局,海关这种油水部门·····

  3. 2013-01-02 14:03 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    @小菜 看海关戴的表就知道了

  4. 2013-01-02 15:07 | Ripon ( 路人 | Rank:29 漏洞数:4 )

    邪恶了,

  5. 2013-01-02 20:42 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    这个系统不光有注入,目前一般能看到的2个版本,早一点的那个版本还有上传漏洞,有的地市财政局安装了这个系统,反而令同服务器的其他站点遭殃。这个问题当时很早就去给省财政厅和财政局反馈过;但是,这个系统的开发,还不如学生的毕业作品,(开发公司有没有都难说,记得当时来安装的小伙,一上来就把同服务器的其他java应用给干掉了,丫的都不去看端口有没有被占用;)靠关系强推的系统,修改都找不到人,后来也就没有后来了,希望这回cncert能顺利推进……