Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2019-00001
- 發信 Vendor: 臺北市政府
- Title: 臺北市政府工務局大地工程處外業巡查系統
- Introduction: Easy SQL Injection & attacked by another hacker
處理狀態
目前狀態
公開
Last Update : 2019/03/17
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2019/01/01 00:01:49 : 新提交 (由 Y 更新此狀態)
- 2019/01/02 22:06:35 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/01/02 23:22:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/01/02 23:22:58 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/03/17 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2019-00001
- 通報者:airfore47 (Y)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://163.29.39.182/gpsrecord_tcge/gpsrecordtcge.aspx
敘述
一、首頁
二、單引號測試報錯
三、延遲測試 (0s),response time (1.8s)
四、延遲測試 (5s),response time (6.8s)
五、延遲測試 (10s),response time (11.9s)
六、確認目標存在漏洞就用工具ㄅ,還好不是sa
七、已經被人用工具"打過",
修補建議
一、看樣子是防、救災用的地理系統,還是趕緊清查被入侵的程度吧。
二、程式碼不用說就是修復。
三、資料庫連線錯誤必須close()掉,否則造成max pool size 擁塞卡死正常連線。
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。