蓝翔技校多处SQL注入和XSS漏洞

漏洞概要

缺陷编号:WooYun-2012-06426

漏洞标题:蓝翔技校多处SQL注入和XSS漏洞

相关厂商:蓝翔技校

漏洞作者:Ropin

提交时间:2012-04-26 21:59

公开时间:2012-04-26 21:59

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2012-04-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

您都入侵谷歌了,咋自己的网站漏洞还这么多呢...

详细说明:

可注入的页面:lists_type.asp||lists_type2.asp||sssb.asp;zyfl.asp||PicShows.asp||Alumnus_shows.asp||videos.asp||videos0.asp都存在问题。跨站的页面也挺多:上面部分页面存在跨站,还有situjiaduotu.asp||PicShows.asp等等...好多敏感信息泄露了,如学员报名信息等...

漏洞证明:

修复方案:

仔细检查检查自己网站吧

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    蓝翔技校黑客何在?

  2. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    怎么公开得这么快...

  3. 2010-01-01 00:00 Valo洛洛 白帽子 | Rank:428 漏洞数:50)

    @xsser 蓝翔技校。。俺们山东人的骄傲

  4. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    据我推测,这个是用来给他们内部初级入门者教学测试用的~~

  5. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    一、唐国强:黑客技术哪家强?中国山东找蓝翔!

    二、学黑客,到山蓝翔,那里是个好地方,八百台电脑无线网,两千兆网速下片爽,山蓝翔规模大,八十万黑客遍天下,学黑客,就到山蓝翔,试黑一月不收任何费用,本校花巨资购进肉鸡,木马,各式病毒.周六学抓鸡周日学挂马.三分理论七分实践,包教包会,学黑客我向您推荐的只有山蓝翔…
    ---------------------------------------------------------
      1、蓝翔没有你们看广告以为那么简单。
        2、蓝翔确实有军方背景,一直和清华、哈工大、国防科大、上海交大、蓝翔五个学校承担了一个重大的国防科研项目,科研方向保密。这个项目不是随便可以参与的,清华是实力、哈工大是国防科工委的老大,国防科大是军校老大,所以才能直接进入,蓝翔是秘密基地,
        上海交大本来没份的,但因为校友的关系(就不用具体问谁了吧)加入了进来。我们主要负责电子干扰,网络超限战科研部分。这个不方面说得太细。北京大学、还有北京理工曾经申请加入进来,被拒绝。
        3、蓝翔有八个专业:数控、其实是高达控制专业。厨师、其实是化学武器制造与防御。汽修、其实是高达与重型战争机械制造。挖掘机、其实是异型高达进阶。美容发,其实是伪装与战略忽悠
        电焊,其实是激光武器与高能粒子武器设计。无线电,磁电声光波探测与预警系统。计算机,不做解释。
        4、计算机很强,但其实不是蓝翔的王牌专业,蓝翔的四大王牌是数控、汽修、挖掘、电焊,计算机排五到七位,但在国内高校里已经无敌了,顺便说一个银河计算机其实是我们造的,为了保密,我们送给了国防科大。
        5、据我所知,中国最好的坦克就是汽修专业秘密的研制的,但出于国家安全考虑,科研成果也算在了其它高等院校头上。电焊主要干的是卫星和火箭焊接,在这方面的水平,略逊于哈工大。为此,上面的人发了很多脾气,电焊系的老师压力很大,去年就有两个跳槽了,一个去了英国的帝国理工做教授,一个去了台 湾,大陆方面曾经派人截杀,一个上将勃然大怒说,去台湾的那个人相当于五个师,但受到美国情报局干扰,未果。
        5、国家考虑过让蓝翔加入985行列,但中央军委不同意,国之利器,不可轻易示人。蓝翔也有很多老师不同意,对于蓝翔这样私密以及水准的学校,成为985,跟湖南大学、重庆大学、华南理工这样的鱼腩学校摆在一起是一种赤裸裸的羞辱。
        6、这次黑客门倒是个意外,是源于计算机的一个老师和学生(这个学生是西北工业大学的研究生,来这进修了两年,名叫邢**,选派来的)因情感问题吵架,这两人爱上了同一个女生。老师威胁学生不让他考试及格,学生求情,老师鄙视他道你要是能黑掉谷歌,我就让你及格。结果.....
        7、中国有很多东西是不能往外说的,尤其是牵涉到国家安全。
        8、言尽于此,再多说就要被喝茶了。
        9、另外我曾经在校长室遇见过一个人,讲阿拉伯语,疑似本 拉登
        10、我们的外部口号是:不想当黑客的厨师,不是好司机。
         内部口号是:我运即国运,国之安危系于南翔一校。
        11、这两天看到南有上交,北有南翔的说法,我们很多同事都感到深深的羞辱,这两个学校从来就不是一个档次,南翔的眼光,只偶尔瞟一瞟剑桥、牛津、哈佛、耶鲁。不知道还有其它大学。当有人说道南有上交,北有南翔时,我们一个教导主任,眼泪都流了出来,苦涩地道:算了,算了,谁叫我们一直潜伏成一个技校呢......南慕容,北乔峰,南上交,北南翔,也就这差距了嘛!

  6. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    @zeracker 太能扯了、、、

  7. 2010-01-01 00:00 Kk_p 白帽子 | Rank:9 漏洞数:2)

    @zeracker YY呢

  8. 2010-01-01 00:00 wormcy 白帽子 | Rank:19 漏洞数:3)

    zeracker黑阔 蓝翔的骄傲

  9. 2010-01-01 00:00 Snow 白帽子 | Rank:34 漏洞数:6)

    @zeracker 无敌了;碉堡了

  10. 2010-01-01 00:00 ufohacker 白帽子 | Rank:0 漏洞数:0)

    现在确实很多学校有军方或者政府背景,具体自己想。

  11. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    网军发源地必须的

  12. 2010-01-01 00:00 笨小孩 白帽子 | Rank:40 漏洞数:4)

    @zeracker 碉堡了