京港電子 SQL Injection

Vulnerability Overview

ZDID: ZD-2019-01102
發信 Vendor: 京港科技有限公司
Title: 京港電子 SQL Injection
Introduction: URL 參數帶有 SQL Injection 漏洞 + root 弱密碼

處理狀態

目前狀態

公開

Last Update : 2019/11/16

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2019/09/16 12:18:47 : 新提交 (由 ALiangLiang 更新此狀態)
2019/09/16 12:25:17 : 新提交 (由 ALiangLiang 更新此狀態)
2019/09/16 12:26:37 : 新提交 (由 ALiangLiang 更新此狀態)
2019/09/16 12:26:57 : 新提交 (由 ALiangLiang 更新此狀態)
2019/09/16 21:53:59 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/09/23 15:59:18 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/09/23 15:59:18 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/09/23 15:59:18 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/11/16 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2019-01102
通報者：ALiangLiang (ALiangLiang)
風險：高
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

重現

./sqlmap.py -u "https://www.cingkang.com/index.php?route=product/product&path=75_320_324_326&product_id=1631"

影響

因貴公司網站為購物網站性質，強烈建議修補漏洞，此漏洞可以讓有心人士操作資料庫，導致訂單遺失、竄改、竊取客戶資料等，極度影響商譽

其餘隱憂

網站的資料庫帳戶使用最高權限，極易遭到利用控制主機，請使用 USAGE 權限之帳戶

資料庫帳戶 root 使用弱密碼 123456，極易被猜出，請使用強密碼

資料庫帳戶 admin 允許所有來源之連線，，若沒必要，請限制使用 localhost

修補建議

1. 要求網站製作廠商修補漏洞
2. 使用防禦套件
3. 縮小資料庫帳戶權限
4. 限制資料庫帳戶連線來源
5. 變更資料庫 root 密碼

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

京港電子 SQL Injection - HITCON ZeroDay

Vulnerability Detail Report