当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-038911

漏洞标题:广州某学生信息采集系统后台弱密码,可导致大量个人信息泄露

相关厂商:广州某学生信息采集系统

漏洞作者: Calify

提交时间:2014-07-10 17:02

修复时间:2014-08-24 17:04

公开时间:2014-08-24 17:04

漏洞类型:用户资料大量泄漏

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-10: 细节已通知厂商并且等待厂商处理中
2014-07-10: 厂商已经确认,细节仅向厂商公开
2014-07-20: 细节向核心白帽子及相关领域专家公开
2014-07-30: 细节向普通白帽子公开
2014-08-09: 细节向实习白帽子公开
2014-08-24: 细节向公众公开

简要描述:

RT,非常详细的信息
删除 序号 审核 学生姓名 姓名拼音 曾用名 出生日期 性别 健康状况 国籍/地区 民族 流动人口 是否独生子女 是否受过学前教育 是否留守儿童 是否进城务工人员随迁子女 是否孤儿 是否烈士或优抚子女 是否需要申请资助 是否享受一补 户口性质 生源类别 学生类别 身份证件类别 身份证件号码 就读方式 入学方式 入学前学校 宗教信仰 港澳台侨外 籍贯 出生地 户口所在行政区 户口地址 户口簿地段号 户口簿号 现住址 家庭地址 通信地址 邮政编码 联系电话 父亲姓名 父亲身份证号 父亲户口所在地 父亲现住址 父亲联系电话 母亲姓名 母亲身份证号 母亲户口所在地 母亲现住址 母亲联系电话 监护人 关系 监护人身份证号 监护人户口所在地 监护人现住址 监护人联系电话 是否已经保险
应有尽有

详细说明:

访问地址:http://www.ydh.cc/s/

QQ截图20131004103459.jpg


QQ截图20131005110810.jpg


QQ截图20131004103459.jpg


QQ截图20131005111156.jpg


收工

漏洞证明:

QQ截图20131005111156.jpg


修复方案:

改密码

版权声明:转载请注明来源 Calify@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2014-07-10 17:31

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现,典型的SQL注射漏洞,能被进一步利用,危害性大.
影响的数据:低
攻击成本:低
造成影响:低
综合评级为:低,rank:4
正在联系相关网站管理单位处置。

最新状态:

2014-07-10:写错,典型的弱密码


漏洞评价:

评论

  1. 2014-07-10 17:21 | 广东省信息安全测评中心(乌云厂商)

    @Calify 貌似不行了

  2. 2014-07-10 17:46 | 广东省信息安全测评中心(乌云厂商)

    @Calify 浏览器兼容性问题,可以

  3. 2014-07-10 21:59 | Calify ( 路人 | Rank:7 漏洞数:5 | 未能联系到厂商或者厂商积极拒绝)

    @广东省信息安全测评中心 逗我= =已经被乌云压了一年。。。。