中神通公司技术论坛 - Powered by Discuz! Board

标题: 虹安DLP数据泄露防护平台SQL注入（DBA权限） [打印本页]

作者: linda 时间: 2016-1-12 11:25 标题: 虹安DLP数据泄露防护平台SQL注入（DBA权限）

漏洞概要
缺陷编号： WooYun-2015-131319
漏洞标题：虹安DLP数据泄露防护平台SQL注入（DBA权限）

相关厂商：       深圳市虹安信息技术有限公司
漏洞作者：       cloud克劳德
提交时间：       2015-08-05 18:37
公开时间：       2015-11-04 10:02
漏洞类型：       SQL注射漏洞
危害等级：       高
自评Rank：       20
漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源：       http://www.wooyun.org
Tags标签：sql注射

漏洞详情披露状态：
2015-08-05：       细节已通知厂商并且等待厂商处理中
2015-08-06：       厂商已经确认，细节仅向厂商公开
2015-08-09：       细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2015-09-30：       细节向核心白帽子及相关领域专家公开
2015-10-10：       细节向普通白帽子公开
2015-10-20：       细节向实习白帽子公开
2015-11-04：       细节向公众公开

简要描述：虹安简介
国内专业的信息安全与数据防护整体解决方案提供商，DLP数据泄露防护领导者。
详细说明：Heimdall DLP数据泄漏防护系统

案例

code 区域sqlmap.py
---
web application technology: JSP
back-end DBMS: MySQL 5.0.11
available databases [4]:
bak_db
dlp_db
information_schema
mysql

漏洞证明：参数:setupName

**.**.**.**:8080/dlp/

**.**.**.**/dlp/

修复方案：#过滤

版权声明：转载请注明来源 cloud克劳德@乌云

漏洞回应
厂商回应：
危害等级：高
漏洞Rank：13
确认时间：2015-08-06 10:00
厂商回复：CNVD确认并复现所述情况，已经转由CNCERT下发给广东分中心，由其后续协调网站管理单位处置。
最新状态：暂无
原文：http://www.wooyun.org/bugs/wooyun-2015-0131319

欢迎光临中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)