恆隆行 股份貿易有限公司資料庫注入漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2017-00587
  •  發信 Vendor: 恆隆行貿易股份有限公司
  • Title: 恆隆行 股份貿易有限公司資料庫注入漏洞
  • Introduction: SQL Injection

處理狀態

目前狀態

公開
Last Update : 2019/06/08
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2017/08/02 16:26:36 : 新提交 (由 Bojack 更新此狀態)
  • 2017/08/02 16:27:24 : 新提交 (由 Bojack 更新此狀態)
  • 2017/08/02 23:10:01 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/08/10 01:45:36 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/08/10 01:45:37 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/08/10 01:45:37 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/08/11 19:36:57 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/08/14 16:46:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/10/02 03:00:12 : 公開 (由 HITCON ZeroDay 平台自動更新)
  • 2019/06/04 14:30:55 : 複審中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/06/04 14:31:02 : 確認已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/06/08 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2017-00587
  • 通報者:bojack (Bojack)
  • 風險:中
  • 類型:資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。

漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.hengstyle.com.tw/news-single.php?id=564

敘述

使用 sqlmap 發現參數 id 可被 SQL Injection 利用
圖片

資料庫存有商品資訊、價格等內容,建議修補避免遭有心人士修改金額造成損失
圖片

另外後台管理人員密碼以明碼儲存,建議以加密方式儲存

修補建議

1. 應過濾 id 參數以避免被 SQL Injection 利用,其餘有引用的程式建議一併檢查,或在前端搭配 WAF 防禦
2. 密碼應以加密方式儲存

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;