当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077357

漏洞标题:某企业建站存在SQL注入漏洞(影响陕西近百家企业站)

相关厂商:西安企方网络科技有限公司

漏洞作者: creep

提交时间:2014-09-26 14:39

修复时间:2014-12-25 14:40

公开时间:2014-12-25 14:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-26: 细节已通知厂商并且等待厂商处理中
2014-09-29: 厂商已经确认,细节仅向厂商公开
2014-10-02: 细节向第三方安全合作伙伴开放
2014-11-23: 细节向核心白帽子及相关领域专家公开
2014-12-03: 细节向普通白帽子公开
2014-12-13: 细节向实习白帽子公开
2014-12-25: 细节向公众公开

简要描述:

某企业建站存在SQL注入漏洞(影响陕西近百家企业站)

详细说明:

官网:http://www.xanet.cc/
直接google hack搜索“华企立方提供技术支持后台管理 inurl:index.php?m=Index”

!.jpg


注入点出现在id和catid参数上。
案例:
1.陕西南江渡生态农林科技有限公司http://www.sxnjd.com/index.php?m=Index&a=lists&catid=74
2.杨凌圣桑绿色食品有限公司http://www.shengsang.com/index.php?m=Index&a=shows&catid=97&id=141
3.陕西西凤酒股份有限公司http://www.sxxfj.com/index.php?m=Index&a=shows&catid=20&id=229
4.陕西叶亚利担保有限公司http://www.yyldb.com/index.php?m=Index&a=shows&catid=103&id=182
5.西安思坦仪器股份有限公司http://www.xasitan.com/index.php?m=Index&a=lists&catid=74
6.西安红旗制动厂http://www.xahqzd.com/index.php?m=Index&a=lists&catid=94
7.小杨烤肉-西安众合餐饮服务管理有限公司http://www.xiaoyangkaorou.com/index.php?m=Index&a=shows&catid=113&id=460
8.雅绣家居体验馆http://www.yaxiushop.com/index.php?m=Index&a=lists&catid=94
.............(还有很多,不一一举例了)
后台登陆页面是长这样的。。。

..jpg


漏洞证明:

拿第一个站点和第二个站点演示

11.jpg

1.jpg


22.jpg

2.jpg


修复方案:

过滤

版权声明:转载请注明来源 creep@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2014-09-29 10:56

厂商回复:

最新状态:

暂无


漏洞评价:

评论