CCF NOI网上报名系统曝SQL注射漏洞

漏洞标题: CCF NOI网上报名系统找回密码功能存在SQL注入,重置任意帐户密码
相关厂商: 中国计算机协会
漏洞作者: wangym5106
提交时间: 2012-10-26
公开时间: 2012-12-10
漏洞类型: SQL注射漏洞
危害等级: 中
自评Rank: 5
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞详情

披露状态:

2012-10-26: 细节已通知厂商并且等待厂商处理中
2012-10-30: 厂商已经确认,细节仅向厂商公开
2012-11-09: 细节向核心白帽子及相关领域专家公开
2012-11-19: 细节向普通白帽子公开
2012-11-29: 细节向实习白帽子公开
2012-12-14: 细节向公众公开

简要描述:
CCF NOI在线报名系统中找回密码功能没有对用户输入进行过滤,导致可以重置他人密码并发送到指定邮箱。

详细说明:
在rg.noi.cn的找回密码中输入已知用户名,密码输入

emailaddress@example.com,' or '1'='1

即可重置改用户密码并将新密码发送至指定邮箱中。

同样在用户名一栏输入

' or number=1 or '1'='1

可以将指定用户ID的密码重置。

由于比赛临近,为避免影响没有对该漏洞进行进一步试验。

漏洞证明:

CCF NOI网上报名系统曝SQL注射漏洞

CCF NOI网上报名系统曝SQL注射漏洞

CCF NOI网上报名系统曝SQL注射漏洞

修复方案:
过滤输入