当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0155639

漏洞标题:北京外企人力资源服务有限公司SQL注入

相关厂商:北京外企人力资源服务有限公司

漏洞作者: 路人甲

提交时间:2015-11-25 18:46

修复时间:2016-01-11 16:06

公开时间:2016-01-11 16:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-25: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

成立于1979年的北京外企人力资源服务有限公司(以下简称FESCO),是中国率先为外商驻华代表机构、外商金融机构和经济组织提供专业化人力资源服务的公司,拥有悠久的人力资源专业化服务历史、丰富的市场经验以及完备的服务资质,是跨国企业在华的首选人力资源战略合作伙伴,是中国人力资源业界最具竞争力和品牌价值的企业,是中国500强企业之一。
  作为中国人力资源服务行业的领跑者,FESCO服务于来自上百个国家和地区的2万余家客户,以及在这些机构中工作的130余万名中外雇员。客户包括众多国际知名跨国企业、三资企业、国营企业、民营企业,横跨通讯、电子、IT、汽车、石化、医药、金融、快速消费品等多个行业。

详细说明:

POST注入:
POST /vip/salon/baoming.asp HTTP/1.1
Accept: text/html, application/xhtml+xml, image/jxr, */*
Referer: http://www.fesco.com.cn/vip/salon/baoming.asp
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Content-Length: 237
Host: www.fesco.com.cn
Pragma: no-cache
Cookie: CNZZDATA1000501355=1887299462-1447460014-http%253A%252F%252Fjob.fesco.com.cn%252F%7C1447460014; ASPSESSIONIDCCTCRTQB=DFHDJIBBBICBNOHMFNLPPDCD; Hm_lvt_1051ac8c9f5e91693c329ff5a5543aa6=1447460011
submit=%cc%e1%bd%bb&jxy_company=Acunetix&jxy_dept=1&jxy_mail=sample%40email.tst&jxy_mobi le=987-65-4329&jxy_name=csqctcgn&jxy_no=1&jxy_request=1&jxy_xingzhi=%b9%fa%c6%f3&jxy_yewubu=0
注入参数:jxy_no

漏洞证明:

数据库:

数据库类型.jpg


DBs.jpg


DB.jpg


数据库表:

tables.jpg


可以爆库:

数据.jpg

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-27 16:05

厂商回复:

非常感谢,已联系各管理员。

最新状态:

暂无


漏洞评价:

评价