漏洞概要
关注数(24)
关注此漏洞
漏洞标题:金象网某重要站点存在SQL注射漏洞
漏洞作者: 沦沦
提交时间:2015-10-15 09:41
修复时间:2015-11-29 09:42
公开时间:2015-11-29 09:42
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-10-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
详细说明:
问题URL:http://healthadmin.jxdyf.com/
首先后台可进行暴破,使用TOP500成功暴出一个账号
账号:yangjie 密码:123456
进入后台之后疾病管理的名称没进行SQL注入过滤
SearchName参数没进行过滤
available databases [22]:
[*] [ddddd_Cdd\n\n\n\n\n\n\n]
[*] [ddddd_Sda\n\n\n\n\n\n\n]
[*] [JXSCMUddd\n]
[*] [JXUddddBa\n\n]
[*] [LS_TdddWd\n\n\n\n\n\n\n\n\n\n]
[*] [TddddPadd\n]
[*] dadddd
[*] dddb
[*] ddddd
[*] dddddb
[*] ddddddd
[*] JXChat
[*] JXChat2
[*] JXCouponBadd
[*] JXECCMS
[*] JXECHealtd
[*] JXECPhone
[*] JXECUnion
[*] JXOrdersBadd
[*] JXSCM
[*] JXSCM20130530
[*] JXYX
漏洞证明:
问题URL:http://healthadmin.jxdyf.com/
首先后台可进行暴破,使用TOP500成功暴出一个账号
账号:yangjie 密码:123456
进入后台之后疾病管理的名称没进行SQL注入过滤
SearchName参数没进行过滤
available databases [22]:
[*] [ddddd_Cdd\n\n\n\n\n\n\n]
[*] [ddddd_Sda\n\n\n\n\n\n\n]
[*] [JXSCMUddd\n]
[*] [JXUddddBa\n\n]
[*] [LS_TdddWd\n\n\n\n\n\n\n\n\n\n]
[*] [TddddPadd\n]
[*] dadddd
[*] dddb
[*] ddddd
[*] dddddb
[*] ddddddd
[*] JXChat
[*] JXChat2
[*] JXCouponBadd
[*] JXECCMS
[*] JXECHealtd
[*] JXECPhone
[*] JXECUnion
[*] JXOrdersBadd
[*] JXSCM
[*] JXSCM20130530
[*] JXYX
修复方案:
版权声明:转载请注明来源 沦沦@乌云
漏洞回应
漏洞评价:
评价