[公开漏洞]全国测绘资质管理系统存在通用SQL注射

全国测绘资质管理系统存在通用SQL注射 相关厂商： 北京四维益友信息技术有限公司 漏洞作者：雅柏菲卡 提交时间：2014-03-19 11:14 公开时间：2014-06-17 11:15 漏洞类型：SQL注射漏洞 危害等级：中 自评Rank：8 漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源：http://www.wooyun.org Tags标签： 安全意识不足 安全意识不足 漏洞详情 披露状态：

2014-03-19：细节已通知厂商并且等待厂商处理中
2014-03-27：厂商已经确认，细节仅向厂商公开
2014-03-30：细节向第三方安全合作伙伴开放
2014-04-06：细节向核心白帽子及相关领域专家公开
2014-04-16：细节向普通白帽子公开
2014-05-06：细节向实习白帽子公开
2014-06-17：细节向公众公开

简要描述：

.....

详细说明：

.....

漏洞证明：

（以总站为例）注射点 http://124.207.179.213/Notefy.aspx?id=1







全国列表http://www.cehuizizhi.com/



注射点构造方法  

以青海省为例 



http://124.207.179.241:8093/+Notefy.aspx?id=1 （实际访问时候去掉中间的“+”号）







且容易导致大量数据流失





报错信息里还夹杂着 

D:\xxxx\SBSM_VSS\TeamLong.SBSM.DataAccess\SqlHelperShip\Demo.cs:4477的路径信息

修复方案：

版权声明：转载请注明来源 雅柏菲卡@乌云 漏洞回应 厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-03-27 08:48

厂商回复：

CNVD确认并复现所述情况，已经由CNVD分别直接联系国家地理测绘局，并后续联系了北京四维益友信息技术有限公司。至24日，软件生产厂商已经直接联系用户完成了修复。经CNVD测试，修复工作已经完成。

最新状态：

暂无