漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0120749
漏洞标题:某大型在线医疗系统存在漏洞导致大量患者信息泄露
相关厂商:120.net
漏洞作者: 路人甲
提交时间:2015-06-17 11:29
修复时间:2015-08-01 11:44
公开时间:2015-08-01 11:44
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-17: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开
简要描述:
登陆框存在登陆绕过 。希望不要走小厂商。
---__--患者姓名电话QQ 得的什么病都很清楚。隐私全部泄露
珠海健康云科技有限公司旗下的有问必答网(www.120ask.com),120健康网(http://www.120.net/),放心医院网(http://www.fx120.net/),为全国第一大医患交流互动平台,每天聚集上百万的患者和十万以上的医生会员,借助专业的问答平台与在线即时交流的技术,赢得了无数患者的信任与支持。同时也为医生用业余时间开辟新空间的大好平台,为缓解医患矛盾,减轻社会医疗压力而承担起责任,用互联网的技术普及公众健康知识,让天下人解决健康问题变得更加简单!“有问必答网,我的家庭医生”是有问必答网的宗旨,24小时为患者的健康保驾护航,随时准备着为人们解答心里的健康疑惑。
有问必答百度权重9 120健康网百度权重 4 放心医院网百度权重 7
详细说明:
有问必答百度权重9 120健康网百度权重 4 放心医院网百度权重 7
漏洞是登陆框存在注入
http://ztc.120.net/
可以直接用万能密码登录
用户名: *' or '1'=' (星号代表账号)
密码随便
我试了几个账号: 11 admin 666666 8 5 110 12 13 20 lm cx gy cx ll 。。。。。。。。。。。。。。。
太多了
很好试出来
涉及百万真的不是问题
等等等 太多了 厂商快点修复吧 这么大系统,信息安全要重视啊
漏洞证明:
修复方案:
修复登陆框注入点。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-06-17 11:43
厂商回复:
我们立刻处理。十分感谢路人甲
最新状态:
2015-06-17:已修复