当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106724

漏洞标题:某政府网站管理系统存在sql注入漏洞

相关厂商:cncert国家互联网应急中心

漏洞作者: 小健客

提交时间:2015-04-10 15:49

修复时间:2015-05-29 18:22

公开时间:2015-05-29 18:22

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-10: 细节已通知厂商并且等待厂商处理中
2015-04-14: 厂商已经确认,细节仅向厂商公开
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

貌似是某市通用的网站管理系统

详细说明:

google搜索 inurl:web/index.php site:gov.cn category_id
举个例子 http://www.fyjc.gov.cn/web/index.php?module=information08&act=list&category_id=259 注入参赛 category_id

3.png


4.png


受影响的部分网站有:
http://www.xybb.gov.cn/web/index.php?module=documents02&category_id=116 新余机构编制网
http://www.xydpc.gov.cn/web/index.php?module=vote&act=list&category_id=82 新余市发展和改革委员会
http://www.xyit.gov.cn/web/index.php?module=information09&act=list&category_id=136 新余信息化办公室
http://www.fyjc.gov.cn/web/index.php?module=information08&act=list&category_id=259 分宜检察网
http://www.xygl.org/web/index.php?module=download&category_id=78 新余公路信息网
http://old.xyaic.gov.cn/web/index.php?module=information01&category_id=60 新余市人力资源和社会保障网
http://www.xyga.gov.cn/web/index.php?module=information05&act=list&category_id=61 新余公安
http://xnh.xybb.gov.cn/web/index.php?module=information03&category_id=46 新余市人力资源和社会保障网
http://www.xyipo.gov.cn/web/index.php?module=information05&act=list&category_id=153 新余市知识产权局
http://www.xybb.gov.cn/web/index.php?module=information20&act=list&category_id=215 党的群众路线教育活动专栏
http://www.xycg.gov.cn/web/index.php?module=information01&category_id=123 新余市城市管理局
http://www.xyfazhi.gov.cn/web/index.php/module-information-category_id-213.htm 新余市人民政府法制办公室
http://www.jxxyfda.gov.cn/web/index.php?module=information14&act=list&category_id=155 新余市市场监督管理局
http://www.xysports.gov.cn/web/index.php?module=policy&category_id=10 新余市体育局
http://www.xycg.gov.cn/web/index.php?module=information02&category_id=137 新余市城市管理局
http://www.xygzw.gov.cn/web/index.php?module=documents&act=list&category_id=61 新余市国有资产监督管理委员会
http://www.xyxfj.gov.cn/web/index.php?module=information01&category_id=106 新余市信访局
http://www.xywqb.gov.cn/web/index.php?module=information01&category_id=202 新余市外事侨务办公室

漏洞证明:

http://www.xydpc.gov.cn/web/index.php?module=vote&act=list&category_id=82

2.png


http://www.xyit.gov.cn/web/index.php?module=information09&act=list&category_id=136

5.png


http://www.xydpc.gov.cn/web/index.php?module=vote&act=list&category_id=82

6.png


http://www.xybb.gov.cn/web/index.php?module=documents02&category_id=116

7.png


就不一一列举了

修复方案:

过滤关键字

版权声明:转载请注明来源 小健客@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-04-14 18:21

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给江西分中心,由江西分中心后续协调网站管理单位处置

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-12 08:43 | Arrow ( 路人 | Rank:28 漏洞数:12 )

    这应该是通用啊

  2. 2015-06-12 16:09 | 小健客 ( 实习白帽子 | Rank:67 漏洞数:21 | 面具下不止是肉体,还有思想,而思想是不怕...)

    @Arrow 而且不是