漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国联通某站注入漏洞存在信息泄露风险
提交时间:2014-06-14 11:07
修复时间:2014-07-29 11:08
公开时间:2014-07-29 11:08
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-06-14: 细节已通知厂商并且等待厂商处理中
2014-06-18: 厂商已经确认,细节仅向厂商公开
2014-06-28: 细节向核心白帽子及相关领域专家公开
2014-07-08: 细节向普通白帽子公开
2014-07-18: 细节向实习白帽子公开
2014-07-29: 细节向公众公开
简要描述:
中国联通某站注入漏洞存在信息泄露风险
详细说明:
问题出在河南省校园通,从数据库初步来看,郑州市、开封市等地区老师信息、至少有18个学校的老师、学生、家长信息漏洞(包括姓名、电话、邮箱、用户名、密码等信息)
0x01:注入点:http://www.ltxyt.com/xyt/dx/news/newsinfo.aspx?id=2178 本站还存在其他注入点,请自行检查
0x02:数据库
部分表的内容
下面把数据库JXT中的表贴出来,还有不少汉字命名的表,呵呵
0x03:因为表和数据太多,这里只把部分老师信息数量和管理员的信息拿出来吧
部分管理员信息
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2014-06-18 20:21
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给河南分中心,由其后续地调当地基础电信企业处置。
最新状态:
暂无
漏洞评价:
评论
-
2014-08-30 20:35 |
进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)
@PythonPig 中文的表名sqlmap里面怎么显示的?背景也看起来高大上啊
-
2014-08-31 00:09 |
PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)
-
2014-08-31 11:38 |
进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)