上市公司深圳燃气集团的网上营业厅存在sql注入漏洞(root权限)大量用户资料暴露

漏洞概要

缺陷编号:WooYun-2015-0130688

漏洞标题:上市公司深圳燃气集团的网上营业厅存在sql注入漏洞(root权限)大量用户资料暴露

相关厂商:深圳燃气集团

漏洞作者:jiankeabc

提交时间:2015-07-31 16:10

公开时间:2015-09-17 16:06

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开

简要描述:

详细说明:

跑了其中一个数据库,信息量实在是太大了,时间上耗不起,这里只是证明存在漏洞,Database: DATABASE_1[49 tables]+------------------------------------+| KJ_BACKGROUD || KJ_BACKGROUD2 || KJ_BASEINFO || KJ_BPINFO || KJ_CONSTRUCTIONCONDITIONS || KJ_NEWTECHPROJECT || KJ_SBCHECKINFO || LC_DICTIONARY || LC_MODULE || LC_MODULE_OPERATION || LC_OPERATION || LC_OPRATION_LOG || LC_ORGANIZATION || LC_ROLE || LC_ROLE_PERMISSION || LC_RUNTIME_LOG || LC_USER || LC_USER_PERMISSION || LC_USER_ROLE || PS_EXPERTSLIST || PS_REVIEWINFO || SB_PROCESSSTATE || SB_PROJECTINFO || SF_BASEINFO || SF_COMPANBASEINFO || SF_MANAGE || SF_SBCHECKINFO || SF_TAGETANDCONTENT || XM_BASEINFO || XM_COMPANBASEINFO || XM_MANAGE || XM_SBCHECKINFO || XM_SBPROJECT || XN_ABOUTJG || XN_DEVICELIST || XN_DEVICEMENU || XN_DURABLESAFETYSAFEGUARDMEASURES2 || XN_ECONOMYSAFEGUARDMEASURES || XN_ENVIRONMENTSAFEGUARDMEASURES || XN_PROJECTINFO || XN_SAFETYSAFEGUARDMEASURES || XN_SUITSAFEGUARDMEASURES || XN_XNEXPERTSOPINION || XN_XNMETAPHASEEXPERTSOPINION || XN_XNSOPINIONRESULT || ZF_COMPANYINFO || ZF_COMPANYINFOCHECK || ZF_DATAATTACHMENT || ZF_EXPERTSINFO |+------------------------------------+[13:34:35] [INFO] fetched data logged to text不跑了,实在太多了

漏洞证明:

营业厅功能,拿下一个能干满多事的呢,好了,就到这吧

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-0316:05

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。

最新状态:

暂无

评价