当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072192

漏洞标题:某建站系统存在SQL注入,影响企业网站数量巨大

相关厂商:易商互联

漏洞作者: 贫道来自河北

提交时间:2014-08-13 15:05

修复时间:2014-11-11 15:06

公开时间:2014-11-11 15:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-13: 细节已通知厂商并且等待厂商处理中
2014-08-18: 厂商已经确认,细节仅向厂商公开
2014-08-21: 细节向第三方安全合作伙伴开放
2014-10-12: 细节向核心白帽子及相关领域专家公开
2014-10-22: 细节向普通白帽子公开
2014-11-01: 细节向实习白帽子公开
2014-11-11: 细节向公众公开

简要描述:

一不小心发现的

详细说明:

易商互联开发的企业级建站系统存在SQL注入,影响企业网站数量巨大 ,实实在在的影响上千家企业站,主要影响南方的各大企业站,这在厦门,乃至全国的建站公司来看都是不多见的,看看一下截图就知道我没有在骗人了

QQ图片20140812165037.jpg


案例:
http://www.ouyahuanyu.com/zhxx_list.asp?id=92
http://www.sxhdct.com/fuwu_list.asp?id=65
http://www.shanghaizhongmin.com/news_list.asp?id=58
http://www.dgsytz.com/fuwu_list.asp?id=55
http://www.whjcrh.com/fuwu_list.asp?id=56
http://www.sywssp.com/news_list.asp?id=54
http://www.sz-zdy.com/news_list.asp?id=57
http://www.njxietong.com/news_list.asp?id=59
http://www.ahxyqz.com/news_list.asp?id=66
http://www.jxrsq.com/news_list.asp?id=55
http://www.fjbjxy.com/news_list.asp?id=74
http://www.fjbjxy.com/news_list.asp?id=74
http://www.sdkunde.com/fuwu_list.asp?id=64
http://www.fs-guancheng.com/fuwu_list.asp?id=55
http://www.nbtfyy.com/fuwu_list.asp?id=59
http://www.sdbrg.com/fuwu_list.asp?id=69
http://www.slcxkj.com/fuwu_list.asp?id=59
http://www.cqydfl.net/rc_list.asp?id=4
http://www.tianyuemotor.com/news_list.asp?id=68
http://www.jinfenganxin.com/news_list.asp?id=74
http://www.bjfxnt.com/news_list.asp?id=57
http://www.jstzjf.com/news_list.asp?id=32
http://www.jymyms.com/news_list.asp?id=57
http://www.szhmsl.com/news_list.asp?id=58
http://www.jjhainiu.com/news_list.asp?id=57
http://www.dgytblg.com/news_list.asp?id=73
http://www.chuduhengkang.com/news_list.asp?id=32
http://www.zhonghuajiaji.com/new_list.asp?id=54
http://www.fjtlly.com/news_list.asp?id=73
http://www.jshdhn.com/news_list.asp?id=74
http://www.zzxyy8.com/news_list.asp?id=74
http://www.wandashiyou.com/news_list.asp?id=99
http://www.tjhrl.com/news_list.asp?id=69
http://www.scysjs.com/news_list.asp?id=32
http://www.shxzbz.com/news_list.asp?id=70
http://www.szhdmc.com/news_list.asp?id=55
http://www.szcszlkt.com/news_list.asp?id=55
http://jjytrade.com/news_list.asp?id=72
http://www.jyhongfa.com/news_list.asp?id=69
http://www.nckcxx.com/new_list.asp?id=86
http://www.yyjszj.com/fuwu_list.asp?id=66
以上案例都是从前五页抽选出来的

漏洞证明:

我就拿四个站来演示了
http://www.jyhongfa.com/news_list.asp?id=69

QQ图片20140812165037.jpg


http://www.fjtlly.com/news_list.asp?id=73

QQ图片20140813102405.jpg


http://www.jstzjf.com/news_list.asp?id=32

QQ图片20140813102538.jpg


http://www.jxrsq.com/news_list.asp?id=55

QQ图片20140813102818.jpg


大家都是明白人

修复方案:

过滤,影响大了一点啊

版权声明:转载请注明来源 贫道来自河北@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-18 09:02

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过电话和邮件方式向软件生产厂商——易商互联公司通报。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-30 16:24 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    asp/access/明小子 感觉回到了校园~~~