漏洞概要
关注数(24)
关注此漏洞
漏洞标题:郑州大学某系统SQL注入可获近几年毕业生信息
提交时间:2015-06-03 14:43
修复时间:2015-06-08 14:44
公开时间:2015-06-08 14:44
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
Tags标签:
无
漏洞详情
披露状态:
2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
郑州大学某系统SQL注入可获近几年毕业生信息,就业档案等
详细说明:
问题平台:http://qy.zzu.edu.cn:81/login.php 郑州大学就业综合服务平台
目测没考虑参数过滤,众多参数都存在sql注入,不一一列了,简单列出几个证明下
后台登陆:http://qy.zzu.edu.cn:81/admin/login.php
注入证明:
找出管理员账号密码登陆:
近几年的毕业生档案就业信息从数据库中可知57143条
今年的毕业人数
漏洞证明:
登陆系统后又发现了好多处SQL注入点,和管理员账号的弱口令,请自查。
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-06-08 14:44
厂商回复:
最新状态:
暂无
漏洞评价:
评论