漏洞概要
关注数(24)
关注此漏洞
漏洞标题:哈尔滨银行两处SQL post注射漏洞
提交时间:2014-10-26 22:46
修复时间:2014-12-10 22:48
公开时间:2014-12-10 22:48
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-10-26: 细节已通知厂商并且等待厂商处理中
2014-10-30: 厂商已经确认,细节仅向厂商公开
2014-11-09: 细节向核心白帽子及相关领域专家公开
2014-11-19: 细节向普通白帽子公开
2014-11-29: 细节向实习白帽子公开
2014-12-10: 细节向公众公开
简要描述:
交给cert?
详细说明:
漏洞存在页面:http://www.hrbcb.com.cn/card/service.do
POST参数:method=askSearch&p=88952634&condition=88952634&askTypeNo=88952634
IBM DB2数据库啊。
不敢深入、
漏洞存在页面:http://www.hrbcb.com.cn/card/merchant.do
POST参数:method=merchantSearch&p=88952634&condition=88952634&merchantCondition=%E8%AF%B7%E8%BE%93%E5%85%A5%E6%90%9C%E7%B4%A2%E5%85%B3%E9%94%AE%E5%AD%97&cityNo=88952634&merchantCategoryNo=88952634&hasCoupon=88952634
又是延迟注入,很慢的。我就不细发了。
很慢的。也下一步的测试了。就截图几张就OK了把。
漏洞证明:
修复方案:
版权声明:转载请注明来源 老和尚@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2014-10-30 16:57
厂商回复:
cnvd确认并复现所述情况,已经转 由cncert向银行业信息化主管部门通报,由其后续协调网站管理单位处置。按多个风险点评分,rank 13
最新状态:
暂无
漏洞评价:
评论
-
2014-10-27 08:47 |
GHK ( 路人 | Rank:2 漏洞数:1 | 请叫我小渣渣。)
-
2014-10-27 09:49 |
Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)
-
2014-10-27 10:17 |
backtrack丶yao ( 普通白帽子 | Rank:290 漏洞数:107 | "><img src=x onerror=alert(666666);> <im...)
-
2014-10-27 10:22 |
char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)
灯光师傅请用闪光闪123楼,摄像师傅请对焦4楼。谢谢。
-
2014-10-27 13:01 |
刺丶魂 ( 路人 | Rank:17 漏洞数:9 )
灯光师傅请用闪光闪1234楼,摄像师傅请对焦5楼。谢谢。
-
2014-10-27 13:29 |
ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)
灯光师傅请用闪光闪12345楼,摄像师傅请对焦6楼。谢谢。
-
2014-10-30 17:03 |
执念千寻 ( 路人 | Rank:2 漏洞数:1 | null)
灯光师傅请用闪光不要闪123456楼,摄像师傅请对焦7楼,其他大光圈虚化。谢谢。
-
2014-10-30 17:07 |
草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | 未满18周岁,不准进入.)
灯光师傅怎么是个漂亮妹子,来我们一起去如家谈谈人生和理想.
-
2014-11-30 10:16 |
岩少 ( 普通白帽子 | Rank:586 漏洞数:171 | 破晓团队)
