无锡透平叶片有限公司曝SQL注射漏洞

漏洞标题: 无锡透平叶片有限公司网站注入漏洞
相关厂商: 无锡透平叶片有限公司
漏洞作者: yeweit6
提交时间: 2012-12-13
公开时间: 2012-12-18
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 15
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞详情

披露状态:

2012-12-13: 细节已通知厂商并且等待厂商处理中
2012-12-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
看新闻报道无锡透平叶片有限公司攻克航空发动机风扇叶片关键技术,于是看了这个公司的介绍,发现官网存在注入,web服务器处于内网,net view可见到ftp、mail等服务器。

详细说明:
注入:

无锡透平叶片有限公司曝SQL注射漏洞

无锡透平叶片有限公司曝SQL注射漏洞

上传图片本地js验证:

无锡透平叶片有限公司曝SQL注射漏洞

漏洞证明:
服务器处于内网,补丁很少,可看到mail、ftp等服务器。未作进一步测试。

无锡透平叶片有限公司曝SQL注射漏洞

修复方案:
过滤,服务端验证上传