A-A+

某次安全测试引发我对’敬业’一词的思考

2016年08月29日 11:27 个人日记, 漏洞安全 评论 6 条 共1452字 (阅读3,894 views次)

这个有注入漏洞的网站,是某大公司刚刚收购的子公司的网站,不过用了这个大公司的二级域名。。。【没修复的原因,也正因为如此。】是子公司的开发人员没有及时修复。

不知道有几个小伙伴记得,习大大的社会主义核心价值观,不过我是记下来了:【富强、民主、文明、和谐、自由、平等、公正、法制、爱国、诚信、敬业、友善】,这里面有一个词,虽然排在了后面(准确的说,敬业一词排在倒数第三),但是既然这个词能出现在社会主义核心价值观里面,说明了它的重要性!!!至少在这个社会中的重要性!!!

起因:在某微信群里,有一个公司发布了一个中秋节活动,只要找到中危的漏洞,就送一盒月饼。正巧,此时我本人暂时没说明事,那就去看看呗。反正闲着也是无聊,开始手动找注入,XSS什么的,找了近2个小时发现一个注入点(因为很多网站都有waf,所以一般都是手动,很少用awvs,Netsparker等软件去扫描,以前经常用,现在用经常会被屏蔽IP,SO)。。。既然找到了注入点然后就测试吧。。。结果真的发现存在SQL注入,而且还是最高权限的注入。拥有root权限,,,然后通过他们公司的漏洞提交平台就反馈给了他们。。。如图:

某sec 漏洞提交平台

某sec 漏洞提交平台

从图中可以看到,我是在8-26日5点半提交的漏洞。。(这里有个问题,在猜表的时候因为知道了是143个表,所以猜解到一半就停止了,没有深入!!!这一半里面正好有一个member的表,不知道是会员表还是什么,看了一下,有7W多的数据。--count ),然后当天就给回复了,回复如下图:

sec 平台回复

sec 平台回复

意思很简单,23号已经有人提交这个漏洞了,我是在26号下午5点左右发现的漏洞,这已经有近3天的时间未修复这个SQL注入漏洞了。。。

今天8-29号,我刚刚又测试了一下,仅测试是否有漏洞,如图:

sql注入漏洞

sql注入漏洞

从图中可以看到,存在:布尔、错误、延时,,,三种注入方式。。。额,我26号测试的时候仅有布尔方式。

23号---29号,,,已经近6天时间了。到现在未修复,从微信群里发找漏洞活动,还有他们自己有响应的漏洞提交平台,这说明他们有自己的相关的安全团队(团队里面某个人我在wooyun听过名字)。这个公司怎么说也都是一个非常大的公司了,一个root权限的SQL注入到现在未修复,现在的开发人员一般工资都不会很低。但是对待一个问题却是这样。着实可以看出【敬业】一词的理解吧。

现在因网站安全问题频出,数据各种泄露,很多无故的人因此遭殃,这样的案例网上数不胜数(当然,这也得怪百姓的安全意识太薄弱)!但是反过来说,如果网站数据泄露到对手公司呢?不用6天的时间,可以轻松把整个服务器的重要数据全部dump出来了,如果进入对手公司,那么自己的公司会损失多少?

不在其位不谋其职(政),如果是我,我宁愿加班也要把这个问题解决了(不要问我以前有没有这样的经历,负责任的说,老板没吱声,自己加班到半夜11点,把服务器问题解决了。),至少不给我自己啪啪啪。。。

声明:无论是文中、图中,并未泄露任何跟漏洞有关的详情或数据。 

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×

6 条留言  访客:6 条  博主:0 条

  1. 涂志海

    涂志海博客来访,站点很不错哦,交换友链吗?我的是www.tuzhihai.com

    • gdd

      不好意思,不交换SEO类博客,谢谢了哈。

  2. 123

    好奇注入的地方是在哪个功能处呢

  3. Luan

    虾表哥博客交换下友链吗? Luan’s Blog http://lu4n.com/

    • gdd

      仁兄,你网站被墙了??? 我这边打不开呀。

      • Luan

        额。抱歉抱歉,我这几天找工作忙去了,没注意到域名因为没实名被阿里暂停解析了。现在好了。

给我留言