漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-061673
漏洞标题:某通用图书馆系统修改任意账号信息+两处sql注入(无需登录)
相关厂商:盛大天方科技有限公司
漏洞作者: what_news
提交时间:2014-05-21 12:21
修复时间:2014-08-16 12:22
公开时间:2014-08-16 12:22
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-21: 细节已通知厂商并且等待厂商处理中
2014-05-26: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-20: 细节向核心白帽子及相关领域专家公开
2014-07-30: 细节向普通白帽子公开
2014-08-09: 细节向实习白帽子公开
2014-08-16: 细节向公众公开
简要描述:
通用了 看到别人提了 我也来补充下
详细说明:
找个例子吧
访问
注册一个账号进行演示吧 没有也行 只是演示而已
testmyme 123
testmeme 123
这里有两个测试账号 我先用testmyme 密码123登录进去
点击修改个人信息 用firebug可得到url
前面的演示就是为了得到这个地址
其实不用登录 我们也可以直接访问
然后 我们可以遍历id了
为了证明不用登录 我找另一个浏览器ie进行测试 没有登录的
id=13
id=1
证明是可以遍历的了 然后就是随便修改用户信息了 也不用登录
我的火狐浏览器是登陆着id=14的testmyme账号
现在用ie进行修改
点击 保存修改 就可以了 也可以修改邮箱啊账户名的
这时候我们可以看下火狐浏览器这边的信息
同样也是可以遍历修改任何用户的信息的
修改这些其实也没什么用 最多修改账户名使得用户无法登陆了吧
注入一
正常显示
正常显示
正常显示 可得知是mssql注入了
注入二
原密码是123
先访问
三栏都输入123
三栏都输入123
三栏都输入123
可判断存在注入 只是不是很明显
漏洞证明:
漏洞证明如上
修复方案:
对参数进行处理 对权限进行设置
版权声明:转载请注明来源 what_news@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-08-16 12:22
厂商回复:
最新状态:
2014-05-26:CNVD确认并复现所述情况,由CNVD协调教育网处置涉及网站案例。