漏洞概要
关注数(24)
关注此漏洞
漏洞标题:山东大学某处注入以及配置缺陷可导致大量人员详细信息泄露
提交时间:2015-10-20 18:50
修复时间:2015-12-08 08:44
公开时间:2015-12-08 08:44
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-10-20: 细节已通知厂商并且等待厂商处理中
2015-10-24: 厂商已经确认,细节仅向厂商公开
2015-11-03: 细节向核心白帽子及相关领域专家公开
2015-11-13: 细节向普通白帽子公开
2015-11-23: 细节向实习白帽子公开
2015-12-08: 细节向公众公开
简要描述:
禁止不安全的配置,一定要有安全意识
详细说明:
一、一处注入漏洞:
http://www.bksms.sdu.edu.cn/login
这里本科生综合管理信息系统
点重置密码
这里证件号码随便填 ,用户名' or '1'='1 和' or '1'='2返回结果不一致
判断存在注入
用burp抓包检测确定存在注入
发包猜解 返回正确信息时返回数据包长度有所不同,如图:
最终注入得到当前用户 : bksms@202.194.14.48,当前数据库:bksms
二、客户端配置漏洞:
http://www.bksms.sdu.edu.cn/login
还是这个登录处,右边图片上面一行文字,如果不仔细可能不会注意到它。
偏偏就是这行文字带来了一个严重的漏洞。
管理员、教务员点此登录
点进去发现并无登录界面,仔细看了下,需要安装一个客户端,首先想到了逆向客户端,看下是否会有有用信息。
下载后发现这个客户端是JAVA编写的软,那么反编译成源代码就轻而易举了。
下载后发现是个这样一个文件ws.jnlp 以文本方式打开:
判断真正软件地址是http://202.194.14.48/client/bksms.jar,访问果然下载下来了。
然后我们反编译它
看到了数据库配置信息:
本地连接数据库,出现了个吉利的数字有888个表,信息量十分大:
这个应该是整个学校最核心的数据库系统了
漏洞证明:
可导致大量人员敏感信息泄露
学生学分和交费信息
网站发布的通告可导致被任意修改
以及姓名、身份证、系统登录密码、邮箱、QQ、手机号码、家庭详细住址等等
修复方案:
1、对于注入:过滤参数
2、对于客户端漏洞 建议对代码混淆增强保护措施
密码等信息不要明文保存
版权声明:转载请注明来源 眼镜蛇@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-10-24 08:42
厂商回复:
已通报系统所属单位处置
最新状态:
暂无
漏洞评价:
评价