当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105231

漏洞标题:某市敏感单位2.6万接X登记表未授权访问&SQL注入(姓名,身份证,电话,IP)

相关厂商:某市敏感单位

漏洞作者: prolog

提交时间:2015-04-02 17:51

修复时间:2015-05-22 10:56

公开时间:2015-05-22 10:56

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-02: 细节已通知厂商并且等待厂商处理中
2015-04-07: 厂商已经确认,细节仅向厂商公开
2015-04-17: 细节向核心白帽子及相关领域专家公开
2015-04-27: 细节向普通白帽子公开
2015-05-07: 细节向实习白帽子公开
2015-05-22: 细节向公众公开

简要描述:

某市敏感单位2.6万接X登记表未授权访问&SQL注入(姓名,身份证,电话,IP)

详细说明:

mask 区域 
*****^安全监察处^*****
*****d从1^*****
1.http://**.**.**/print_user.aspid=26745_
*****d5d8d0801fe9e07d21d365.png*****

漏洞证明:

mask 区域 
1.://**.**.**//www.nanping.cyberpolice.cn/print_user.aspid=26701_
*****^还是SQ*****
2.http://**.**.**/print_user.aspid=26701 and 1=1_
3.http://**.**.**/print_user.aspid=26701 and 1=2_
*****c05d98d73df44225bd55d6.png*****

修复方案:

权限控制

版权声明:转载请注明来源 prolog@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-04-07 10:55

厂商回复:

验证确认所描述的问题,已通知其修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-02 17:51 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    骗术大同小异,被骗的经历千奇百怪,人生百态啊

  2. 2015-04-07 10:57 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @浩天 浩天,啥意思?

  3. 2015-04-07 11:05 | ( 路人 | Rank:17 漏洞数:4 | -->‮)

    为什么我没有名字?@乌云 名字还能不能改啊

  4. 2015-04-07 11:07 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @‮ 操,真牛逼

  5. 2015-04-07 11:27 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @‮ 无名大侠

  6. 2015-04-07 11:49 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有,有的东西最好用...)

    @‮ 我试试,我日了?日狗了,我看你们会不会把我这些倒着的字练完,错了,是念完!!!!

  7. 2015-04-07 12:16 | 老黑 ( 普通白帽子 | Rank:161 漏洞数:61 | 最爱红颜不老。)

    试试我 @意如

  8. 2015-04-07 12:22 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @‮ 了狗了日,的反是不么什为来出打我

  9. 2015-04-07 12:33 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @Black Angel 你是先打完。再艾特他的

  10. 2015-04-07 12:35 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    @ 日狗了

  11. 2015-04-07 12:36 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    @‮ 你的名字是怎么念的?

  12. 2015-04-07 12:38 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    @‮ 试一下

  13. 2015-04-07 12:40 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    @‮ 我去。。

  14. 2015-04-07 12:58 | by灰客 ( 路人 | Rank:20 漏洞数:12 )

    测试@

  15. 2015-04-07 13:05 | ( 路人 | Rank:17 漏洞数:4 | -->‮)

    不是@,是回复。没有名字好苦恼啊

  16. 2015-04-07 13:20 | by灰客 ( 路人 | Rank:20 漏洞数:12 )

    没错啊。是回复你@‮

  17. 2015-04-07 13:33 | MITM ( 普通白帽子 | Rank:167 漏洞数:25 | 先空着)

    @‮ 试试

  18. 2015-04-07 13:34 | 路人N ( 路人 | Rank:12 漏洞数:8 )

    @‮ ‮试一下‮Test

  19. 2015-04-07 13:39 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    @‮ 。。。。。。。。上海自来水来自海上。。。。。。。。

  20. 2015-04-07 13:41 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    @‮

  21. 2015-04-07 13:43 | MITM ( 普通白帽子 | Rank:167 漏洞数:25 | 先空着)

    @‮ 双向文稿支援则是指电脑系统可以正确处理及显示双向文稿的能力

  22. 2015-04-07 14:21 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    @‮。。测试

  23. 2015-04-07 14:31 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这个案例怎么了,怎么这么多人回复

  24. 2015-04-07 14:37 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    @浩天 http://zone.wooyun.org/content/19590自己看

  25. 2015-04-07 14:44 | Let a person cry. ( 路人 | Rank:23 漏洞数:9 | xxoo)

    @‮ 我就试试,是不是反的

  26. 2015-04-07 14:45 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    @ 围观围观

  27. 2015-04-07 14:46 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    @‮ 围观围观

  28. 2015-04-07 14:57 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    @‮ 卧槽 大神 你真牛逼 请收下我的膝盖!!!

  29. 2015-04-07 14:58 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    @‮ 操我 操我 操我!!!

  30. 2015-04-07 15:59 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    @‮ 啥玩意

  31. 2015-04-07 16:38 | 暗羽 ( 路人 | Rank:21 漏洞数:6 | 喵呜,给人类的智商跪了)

    @‮ 我也试试

  32. 2015-04-08 09:07 | 半夏 ( 路人 | Rank:12 漏洞数:3 | 新人一枚。。)

    如果没有艾特呢

  33. 2015-04-08 09:10 | 半夏 ( 路人 | Rank:12 漏洞数:3 | 新人一枚。。)

    好吧@

  34. 2015-04-08 09:30 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

    @‮ 过来试一下大侠的高招

  35. 2015-04-08 09:45 | 帅气小狼狗 ( 路人 | Rank:8 漏洞数:2 | 汪汪汪)

    @‮ 我也来试试,反不反。

  36. 2015-04-08 15:37 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    @‮ 12345678987654321

  37. 2015-04-08 15:50 | Winck ( 路人 | Rank:8 漏洞数:2 | http://weibo.com/hackwinck hackwinck By...)

    日了哮天犬了

  38. 2015-04-08 15:52 | Winck ( 路人 | Rank:8 漏洞数:2 | http://weibo.com/hackwinck hackwinck By...)

    @帅气小狼狗 日了哮天犬了

  39. 2015-04-08 16:54 | Jeremy ( 普通白帽子 | Rank:106 漏洞数:11 | )

    @‮ 雾锁山头山锁雾,天连水尾水连天。

  40. 2015-04-08 16:57 | 付弘雪 ( 路人 | Rank:16 漏洞数:10 | 希望和业内各位大牛多多交流)

    @‮

  41. 2015-04-08 23:32 | x0ers ( 路人 | Rank:25 漏洞数:4 | 专注计算机:开机关机重启20年。)

    @‮ 我草

  42. 2015-04-12 21:32 | Black ( 路人 | Rank:1 漏洞数:1 | Hoho~)

    @‮ 我就是来试试……

  43. 2015-04-14 17:00 | 神笔马良 ( 普通白帽子 | Rank:130 漏洞数:45 | 爱写字的马)

    上海自来水来自海上

  44. 2015-04-14 17:27 | wooOver ( 普通白帽子 | Rank:318 漏洞数:83 | 我要控制我自己)

    @‮真厉害

  45. 2015-04-14 18:36 | 神笔马良 ( 普通白帽子 | Rank:130 漏洞数:45 | 爱写字的马)

    @‮ 上海自来水来自海上

  46. 2015-04-16 09:16 | 船长 ( 路人 | Rank:15 漏洞数:4 )

    @%E2%80%AE

  47. 2015-04-16 15:41 | ../../ ( 路人 | Rank:2 漏洞数:2 )

    @‮ 操我操我

  48. 2015-04-16 15:46 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    @../../ 好吊。。

  49. 2015-04-16 19:55 | DARKSTON ( 路人 | Rank:8 漏洞数:2 )

    @‮ 我就是来试试为什么

  50. 2015-04-20 21:46 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @‮ 我只是来试试

  51. 2015-04-20 21:47 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @浩天 这人啥情况。。一@就反了

  52. 2015-04-20 22:51 | ../../ ( 路人 | Rank:2 漏洞数:2 )

    @../../ @../../ @../../ @../../ @../../ @‮ bsy7z

  53. 2015-04-27 10:19 | 孤月寒城 ( 路人 | Rank:0 漏洞数:1 )

    @浩天 我了棵草

  54. 2015-04-28 21:14 | 辛巴 ( 普通白帽子 | Rank:231 漏洞数:83 | 现实中的无能为力,不代表网络中也要低声下...)

    @‮ 无名黑阔

  55. 2015-05-09 21:02 | 八云紫 ( 实习白帽子 | Rank:64 漏洞数:11 | 普建出长门,大建出大和)

    @‮ 明天到操场操到天明

  56. 2015-05-12 10:11 | Winck ( 路人 | Rank:8 漏洞数:2 | http://weibo.com/hackwinck hackwinck By...)

    出去走两圈