某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000W左右数据包括驾驶员姓名/身份证号/驾驶车辆类型/牌照信息等

漏洞概要

缺陷编号:WooYun-2015-0127456

漏洞标题:某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000W左右数据包括驾驶员姓名/身份证号/驾驶车辆类型/牌照信息等

相关厂商:某省车管所

漏洞作者:路人甲

提交时间:2015-07-19 10:50

公开时间:2015-09-06 00:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(公安部一所)处理

Tags标签:

漏洞详情

披露状态:

2015-07-19: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

某省车管所通用管理系统存在oracle注入可泄露全省驾驶员信息 破千万数据 包括驾驶员姓名/身份证号/驾驶车辆类型/牌照信息。。。。但在案例中并没有展示牌照信息1000W偶1000W 平生第一次见这么多数据。。。。给个首页把让我迎来人生中第一次首页吧 如何

详细说明:

济南市车管所:

数据条数:824116 82W东营市车管所:

数据条数:171964 17W青岛市车管所:

数据条数 : 1752918 175W淄博市车管所:淄博市的太卡了。。。故放弃枣庄市车管所:

数据条数:318081 31W烟台市车管所:压根就打不开。故放弃潍坊市车管所:

数据条数:719692 71W济宁市:

数据条数:423416 42W泰安市:

数据库的结构不一样,懒得再找数据了

(⊙o⊙)… 这个也不是DBA 放弃威海:

数据条数:289770 29W聊城市:

数据条数:503713 50W日照市,德州市,等余下城市因时间有限,未进行测试,请自查。。。数据条数总计:5003670约500W 加上余下城市破千万应该没问题1000W偶1000W 平生第一次见这么多数据

漏洞证明:

同上

修复方案:

不知道

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-2010:27

厂商回复:

感谢提交!!
验证确认所描述的问题,已通知其修复。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Vern 白帽子 | Rank:559 漏洞数:56)

    城里人都会开车

  2. 2010-01-01 00:00 Mr.R 白帽子 | Rank:0 漏洞数:0)

    城里人太会玩了

  3. 2010-01-01 00:00 火焰真菌 白帽子 | Rank:13 漏洞数:2)

    @July hi

  4. 2010-01-01 00:00 July 白帽子 | Rank:9 漏洞数:2)

    @火焰真菌 匿名不是好孩子,裤衩拿来。

  5. 2010-01-01 00:00 Mr.R 白帽子 | Rank:0 漏洞数:0)

    @July @火焰真菌 什么鬼

  6. 2010-01-01 00:00 火焰真菌 白帽子 | Rank:13 漏洞数:2)

    @Mr.R 6666你又调皮了

  7. 2010-01-01 00:00 Mr.R 白帽子 | Rank:0 漏洞数:0)

    @火焰真菌 。。。。。。。