某通用型国家水运建设市场信用信息管理系统存在命令执行及SQL注入
全国水运建设市场信用信息管理系统主站:
http://syxy.mot.gov.cn/credit/index.jsp
此主站是用某通用系统搭建,相关链接中的多个省市系统也是用此通用系统搭建。
如河南省水运建设市场信用信息管理系统:
http://218.29.139.87/index.php
界面布局,架构和全国主站一致,所以是同一系统。
此系统存在命令执行:
http://218.29.139.87:8089/swordfish/wbs/siteDispatherUI!viewRegPerson.action?id=12
而且是system权限哦:
看看云南省水运建设市场信用信息管理系统:
http://221.213.44.146:9000/Default.aspx
看看SQL注入:
http://221.213.44.146:9000/FrmInfoDetail.aspx?Type=ZRZTSGDW&Code=fd5018bc-36d7-49da-b6fa-aaad159b3fba&IsShow=1&SubType=003
再来看山西省公路水运建设招投标及信用信息管理系统:
http://218.26.163.59:8088/sxztb/
这里存在SQL注入和命令执行:
http://218.26.163.59:8088/sxztb/xxfbQueList.action?sy=y&type=12cedc829f91b7516d0000000
而且还是administrator权限
在全国水运建设市场信用信息管理系统主站的相关链接里面的很多省市水运建设市场信用信息管理系统都使用这个系统,影响挺大。
修复方案:
过滤。
升级。