发新话题
打印

H3C 服务项目管理平台存在SQL注入漏洞

H3C 服务项目管理平台存在SQL注入漏洞

漏洞概要
缺陷编号:        WooYun-2013-20620
漏洞标题:        H3C 服务项目管理平台存在SQL注入漏洞
相关厂商:        H3C
漏洞作者:        秃鹫
提交时间:        2013-03-25 13:20
公开时间:        2013-06-23 13:21
漏洞类型:        SQL注射漏洞
危害等级:        高
自评Rank:        15
漏洞状态:        未联系到厂商或者厂商积极忽略
漏洞来源:        http://www.wooyun.org
Tags标签:       设计缺陷/边界绕过 后台被猜解 .net+sqlserver注射 设计不当导致攻击界面扩大 认证缺陷 盲目信任用户数据 注射利用技巧 认证绕过 欺骗登陆 注射黑盒测试技巧 管理后台对外 内部系统对外

漏洞详情披露状态:
2013-03-25:        积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-23:        厂商已经主动忽略漏洞,细节向公众公开

简要描述:程序员对用户输入数据过滤不严,造成该漏洞,在后台登陆处可通过构造语句绕过直接进入管理界面。可对数据进行修改、删除等操作
详细说明:http://scdp.h3c.com/Default.aspx



H3C 服务项目管理平台后台登陆处存在注入漏洞,主要是对用户输入数据过滤不严造成的,登陆成功后 可以数据进行修改、删除等操作。

漏洞证明:在用户登陆用户名处 输入。。。 进行绕过,密码任意填写,







成功登陆,




修复方案:1、对输入数据进行验证;2、对特殊符号 进行过滤 等 在此就不献丑了,你们比我懂……
版权声明:转载请注明来源 秃鹫@乌云
漏洞回应
厂商回应:未能联系到厂商或者厂商积极拒绝
漏洞Rank:10 (WooYun评价)

原文:http://www.wooyun.org/bugs/wooyun-2010-020620

[ 本帖最后由 linda 于 2016-2-4 19:33 编辑 ]

TOP

发新话题