当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099376

漏洞标题:上海市学生体质健康监测中心网站SQL注入漏洞

相关厂商:上海市学生体质健康监测中心

漏洞作者: 路人甲

提交时间:2015-03-04 17:08

修复时间:2015-04-18 17:10

公开时间:2015-04-18 17:10

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-04: 细节已通知厂商并且等待厂商处理中
2015-03-09: 厂商已经确认,细节仅向厂商公开
2015-03-19: 细节向核心白帽子及相关领域专家公开
2015-03-29: 细节向普通白帽子公开
2015-04-08: 细节向实习白帽子公开
2015-04-18: 细节向公众公开

简要描述:

上海市学生体质健康监测中心网站由于安全意识不足没有对表单进行过滤导致sql注入,造成大量学生体质监测数据以及部分上海高校教师用户数据泄露

详细说明:

找到这个站主要是因为闲得蛋疼想要看看学校妹子们的三围数据做个facemash什么的【。
搜了下学校的有关通知,找到了http://shangbao.tzjk.net/这个网站,似乎学校的体检数据都会提交到这个网站里

QQ20150304-1.png


大概浏览了下,点击【更改登录方式】-->【查询学校代码】进入一个查询页面

QQ20150304-2.png


按照传统套路试了下'and 1=1 --

QQ20150304-4.png


再按照传统套路试了下 'and 1>1 --

QQ20150304-5.png


然后就拿出sqlmap来dump一下了
结果就是数据量似乎超乎了自己想象的样子,大概是2008-2012年上海大学中学小学的数据似乎都有

QQ20150304-6.png


以及这数据表数量:

QQ20150304-7.png


说是教师用户数据泄露是因为登录这个平台上报学生数据是需要有关老师的密码信息的
因为数据量太大对于各个表的作用如何就不整理分析了
最后,我才突然想起来一件事 —— 体检的时候是不量三围的OTZ……

漏洞证明:

python sqlmap.py -u 'http://shangbao.tzjk.net/student/school/schoolAllView.action' --data="id=&p=&name=a&areaCode=&type=&search=%E6%9F%A5%E8%AF%A2"


QQ20150304-8.png


修复方案:

过滤表单参数

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-09 12:49

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论