当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103000

漏洞标题:某市医疗保险异地住院备案系统SQL注入(泄露社保卡号、姓名、身份证、电话等敏感信息)

相关厂商:cncert国家互联网应急中心

漏洞作者: goubuli

提交时间:2015-03-22 14:54

修复时间:2015-05-10 15:42

公开时间:2015-05-10 15:42

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-22: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-04-05: 细节向核心白帽子及相关领域专家公开
2015-04-15: 细节向普通白帽子公开
2015-04-25: 细节向实习白帽子公开
2015-05-10: 细节向公众公开

简要描述:

RT

详细说明:

蚌埠市医疗保险异地住院备案系统
http://218.22.88.62:8089/wsba.aspx

0322_10.png


直接可以访问后台地址
http://218.22.88.62:8089/login.aspx
SQL注入漏洞:admin' or 'a'='a

0322_11.png


提交登陆成功

0322_12.png


系统应该是从2013年开始启用的。。。现在里面的数据还不太多。。
随着时间的推进这个备案系统里面的人员信息会越来越多,所以尽早被我发现提交了以免以后被其他人倒卖。。。
声明:未做任何破坏!

漏洞证明:

0322_12.png


分页显示

0322_13.png

修复方案:

1、过滤
2、后台地址不在公网开放

版权声明:转载请注明来源 goubuli@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-26 15:40

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论