当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139078

漏洞标题:上海某数码公司SQL注入致上海百所高校社会考生信息泄露

相关厂商:cncert国家互联网应急中心

漏洞作者: viam

提交时间:2015-09-08 05:45

修复时间:2015-10-25 17:04

公开时间:2015-10-25 17:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-08: 细节已通知厂商并且等待厂商处理中
2015-09-10: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-20: 细节向核心白帽子及相关领域专家公开
2015-09-30: 细节向普通白帽子公开
2015-10-10: 细节向实习白帽子公开
2015-10-25: 细节向公众公开

简要描述:

上海近百高校躺枪,大量学生信息泄露:包括姓名/身份证号/学校/专业/联系电话等重要信息...

详细说明:

起因是在上海交大网站发现考生头证件照直接应用了站外地址,照片中直接标注了姓名身份证号,并且无需验证即可访问。
http://**.**.**.**/Images/UpPhoto/sjtu/10248715********2.jpg

证件照


(敏感信息已打码)
写了个小脚本,对部分编号进行遍历。

大量证件照.png


然而还没有结束,浏览主站http://**.**.**.**/info/index.asp,发现该数码公司客户不止交大一家,而是遍及上海近百高校(疑似学校指定的拍照点)。
而查询的POST请求存在注入。

POST /info/management.asp HTTP/1.1
Content-Length: 246
Content-Type: application/x-www-form-urlencoded
Cookie: ASPSESSIONIDAAAQBSSD=AFKDEIKAOHKFONCKBNMLGBPO
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
action=sub&daimaxuehao=1&imageField=&realname=thkesubd&SchoolID=1&sfzh=1


注入参数为SchoolID

近百高校.png


受影响学校:

上海市虹口区业余大学
上海船舶设备研究所
上海船舶运输科学研究所
上海航天技术研究院(航天八院)
上海医药工业研究院
上海社会科学院
中国科学院上海分院
南京政治学院上海分院
第二军医大学
上海市宝山区业余大学
上海青年管理干部学院
上海工会管理干部学院
上海市经济管理干部学院
上海工商学院
上海职工医学院
上海市政法管理干部学院
上海医药职工大学
上海纺织工业职工大学
上海机电工业职工大学
上海市卢湾区业余大学
上海市杨浦区业余大学
上海市普陀区业余大学
上海市静安区业余大学
上海市长宁区业余大学
上海市徐汇区业余大学
上海市南市区业余大学
上海科技管理干部学院
上海市邮电学校
上海建峰职业技术学院
上海中侨职业技术学院
上海托普信息技术职业学院
上海邦德职业技术学院
上海农林职业技术学院
上海科学技术职业学院
上海工商外国语职业学院
上海建桥学院
上海济光职业技术学院
上海工艺美术职业学院
上海立达职业技术学院
上海思博职业技术学院
上海欧华职业技术学院
上海民远职业技术学院
上海震旦职业学院
上海电子信息职业技术学院
上海海事职业技术学院
上海交通职业技术学院
上海城市管理职业技术学院
上海行健职业学院
上海商学院
上海第二工业大学
上海政法学院
上海杉达学院
上海出版印刷高等专科学校
上海金融学院
上海电机学院
上海立信会计学院
上海工程技术大学
上海新侨职业技术学院
上海东海职业技术学院
上海公安高等专科学校
上海大学
上海戏剧学院
上海音乐学院
上海体育学院
华东政法大学
上海旅游高等专科学校
上海海关高等专科学校
上海对外贸易学院
上海财经大学
上海外国语大学
上海师范大学
华东师范大学
上海中医药大学
上海海洋大学
上海医疗器械高等专科学校
上海应用技术学院
上海电力学院
东华大学
上海海事大学
上海理工大学
华东理工大学
上海交通大学
同济大学
复旦大学
中科院上海光机所
中科院上海技术物理研究所
中科院上海生命科学研究院
中科院上海有机化学研究所
中科院上海药物所
中科院上海微系统研究所
中科院上海应用物理研究所
中科院上海硅酸盐研究所
电信科学技术第一研究所
中科院上海天文台
中科院声学所东海研究站
上海市计算技术研究所
上海国家会计学院


跑了几条数据:

学生信息.png


数据量较大,从200几年至今的信息都有。
因为涉及敏感信息,这里仅作验证地跑了一些数据。
所得信息已经删除。

漏洞证明:

近百高校.png


学生信息.png

修复方案:

敏感资源进行权限验证;
SQL语句安全过滤

版权声明:转载请注明来源 viam@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-09-10 17:03

厂商回复:

暂未建立与网站管理单位的直接处置渠道,待认领.

最新状态:

暂无


漏洞评价:

评论