2015年11月数据安全高危漏洞
行业 | 标题 | 来源 | 编号 |
公司机构 | 伊利集团某平台sql注射漏洞泄露587个数据库数据(大量APP库) | 乌云 | |
公司机构 | 万达酒店及度假村APP存在SQL注入(含六千多酒店用户数据) | 乌云 | |
公司机构 | 中国十大旅行社之一康辉旅行社主站存在SQL注入漏洞(DBA权限) | 乌云 | |
公司机构 | 万科集团官网存在SQL注入(多达50+可拖库) | 乌云 | |
公司机构 | 爱康国宾某处逻辑漏洞导致近2000W+的订单信息可泄露(包括姓名\手机号\邮箱\体检地点\时间\涉及好多企业用户) | 乌云 | |
公司机构 | 海底捞某接口可导致一千多万用户数据泄漏(包括姓名\手机\邮箱等) | 乌云 | |
公司机构 | 南京12320预约挂号服务平台SQL注入(waf bypass/涉及大数量级真实身份信息、手机号、银行卡号) | 补天 | |
公司机构 | 潍柴集团内网漫游#OA、mail、传真服务、档案系统、svn、电子商务等所有内网平台沦陷#集团铭感资料泄露#各类工控系统任意访问#内网四百台服务器任意访问 | 补天 | |
公司机构 | 上海新华医院服务器泄露大量数据 | 补天 | |
公司机构 | 恒生电子某系统弱口令+SQL注入导致700+政府项目信息暴露 | 乌云 | |
公司机构 | 百世旗下海淘转运平台另一处SQL注入(涉及近27W用户信息) | 补天 | |
公司机构 | 凯立德官方商城存在漏洞三处打包(280万 用户信息泄露) | 补天 | |
公司机构 | 酷我音乐某域下存在xss,可获取他人用户信息 | 漏洞盒子 | vulbox-2015-012411 |
公司机构 | 惠普中国某站SQL注入泄露大量用户信息 | 漏洞盒子 | vulbox-2015-012543 |
公司机构 | 海尔集团某系统弱口令导致大量数据泄露 | 漏洞盒子 | vulbox-2015-012534 |
公司机构 | 长虹某系统sql注入,大量用户客户数据泄漏 | 漏洞盒子 | vulbox-2015-012526 |
公司机构 | 通达OA最新版(8.11.151030)系统某处任意sql语句执行(无需登陆) | 补天 | |
公司机构 | 中企动力某后台系统漏洞打包(root权限SQL注入\信息泄漏) | 乌云 | |
公司机构 | 郑州日产车主俱乐部SQL注入/359个表/200W会员信息/10W交易信息 | 乌云 | |
公司机构 | 彩生活多处SQL注入打包(DBA权限/8个库/193W用户信息含密码、手机号) | 乌云 | |
公司机构 | 辽宁省体彩中心某系统GetShell泄露大量用户/销售等信息#涉及销售/佣金(含银行卡/卡主)/中奖等明细数据#备份数据50G+ | 乌云 | |
公司机构 | 中国燃气控股有限公司漏洞导致103万供应商的账号/密码/公司名称/CEO名字/银行卡号/联系人/手机/邮箱/地址等泄露 | 补天 | |
公司机构 | 用友某通用平台sql注入漏洞6枚打包(无需登陆,无限制获取数据,影响大量企业) | 乌云 | |
互联网 | 某同城陌生人交友应用SQL注入数百万用户隐私不保 | 乌云 | |
互联网 | 优信二手车过户管理系统SQL注入(泄露大量车主信息及身份证正反面照片) | 乌云 | |
互联网 | CSDN社区某站被成功入侵挂黑页 | 乌云 | |
互联网 | 好贷网官网APP存在SQL注入漏洞(含130万借贷用户数据) | 乌云 | |
互联网 | 沈阳市预约挂号统一服务平台注入漏洞(可致十几万用户详细信息泄露) | 乌云 | |
互联网 | 拇指玩某处漏洞泄露一千万用户数据 | 补天 | |
互联网 | 凯撒旅游网泄露全部订单 | 漏洞盒子 | vulbox-2015-012205 |
互联网 | 新网互联某站被黑存在webshell可导致13万域名注册信息泄露 | 乌云 | |
互联网 | 美丽说www主站存在SQL注入漏洞(附利用脚本) | 乌云 | |
互联网 | 万达电商管理后台SQL注射漏洞一枚(可影响全站数据) | 乌云 | |
互联网 | shopex某站漏洞沦陷多个网站#泄漏三百个数据库root权限#2千万淘宝订单信息 | 补天 | |
互联网 | P2P安全之向上金服某站SQL注入(涉及近380W用户信息) | 乌云 | |
互联网 | P2P安全之新新贷某站命令执行可shell导致大量数据泄露 | 乌云 | |
互联网 | 乐视某漏洞泄漏全部购物成功用户信息 | 补天 | |
互联网 | 华医网某处高危漏洞,泄露至少1200w用户信息 | 补天 | |
互联网 | 陕西人才网某处高危漏洞,泄露230w用户信息 | 补天 | |
互联网 | 信阳人力资源网上超市SQL注入一枚,可内网渗透导致服务器沦陷,大量信息泄漏 | 补天 | |
互联网 | 早教网某站漏洞可导致百万数据泄漏 | 补天 | |
互联网 | 途牛网越权修改其它用户配送信息 | 补天 | |
互联网 | 中国通信人才网某处高危漏洞,泄露至少100w用户信息,可任意编辑 | 补天 | |
互联网 | 卖客疯存在某漏洞泄漏大量信息 | 漏洞盒子 | vulbox-2015-012550 |
金融 | P2P理财投资平台安全之乐投贷存在SQL注入(涉及15万用户账号密码,支付密码,姓名及银行卡号等信息) | 乌云 | |
互联网 | 环球网官方APP某模块多处SQL注入打包(含400W+用户数据) | 乌云 | |
互联网 | 爱卡汽车某漏洞导致40万车主信息\5万合同信息泄露 | 乌云 | |
互联网 | 拇指玩官方xss可以控制千万用户数据 (10215084个用户) | 乌云 | |
互联网 | 聚财猫APP用户银行卡身份证手机号信息泄漏,百万数量级,另其它越权 | 补天 | |
互联网 | 空中网服务器配置值班管理夸权限访问\高权限SQL注入(影响多个库) | 乌云 | |
互联网 | 好利网APP越权登录任意用户+越权获取全站几十万用户信息(密码md5\手机号\身份证\姓名\账户余额\银行卡) | 乌云 | |
互联网 | 久玖支付某业务系统漏洞( 涉及上万商户信息/日3亿交易流水/大量内部配置信息泄露) | 乌云 | |
互联网 | 好贷网主站存在存在SQL注入(需绕过) | 乌云 | |
金融 | P2P安全之新新贷某站命令执行可shell导致大量数据泄露 | 乌云 | |
金融 | P2P理财投资平台安全之乐投贷存在SQL注入(涉及15万用户账号密码,支付密码,姓名及银行卡号等信息) | 乌云 | |
互联网 | 技成培训网存漏洞#泄露大量信息(160万+用户账号#邮箱#密码) | 补天 | |
交通运输 | 佛山某邮政信息管理系统存在多个漏洞导致Getshell/命令执行/数据库泄漏-听说双十一过后邮政小包不少吧!数据还在时时同步!! | 补天 | |
交通运输 | 快递安全之顺丰快递多个问题(8w+用户信息泄露XSS越权) | 补天 | |
交通运输 | 中国国际航空某系统员工弱口令导致影响内网安全(弱口令\SQL注入\Getshell等) | 乌云 | |
交通运输 | 天天快递公司某处发现高危漏洞大量内部信息泄露 | 漏洞盒子 | vulbox-2015-012618 |
交通运输 | ems某系统漏洞,导致数大量数据泄漏 | 补天 | |
交通运输 | 东方航空某系统用户帐号暴露在公网确不及时修改导致内部13054条员工敏感泄漏 | 乌云 | |
教育 | 奥鹏教育主站SQL注入可获取用户信息配置信息等(IIS Unicode编码利用案例) | 乌云 | |
教育 | 浙江工业大学某学院Rsync未授权访问导致众多敏感信息泄露 | 补天 | |
教育 | 桂林电子科技大学某平台疑是被黑#system权限#全部工作人员详细信息#全校学生详细信息(连同家长信息) | 补天 | |
教育 | 安徽省教育招生考试院存在sql注入漏洞 | 补天 | |
教育 | 中北大学两枚高危漏洞#全校师生联系电话泄漏#sms接口泄漏、大量短信息泄漏#全校往届十年毕业生档案信息泄漏 | 补天 | |
教育 | 河南省专业技术人员继续教育信息管理系统某漏洞导致大量人员信息泄露 | 补天 | |
金融 | 泰康人寿某重要站点存在SQL注入漏洞(涉及29库上千表) | 乌云 | |
金融 | 北京立康保险代理有限公司某在线交易保险平台存在SQL注射漏洞(260个表/大量用户的真实姓名,明文密码,邮箱地址及电话号码泄露) | 乌云 | |
金融 | 河南某银行官网SQL注入泄露大量敏感数据(可绕过WAF) | 乌云 | |
金融 | 国联证券某系统多处高危漏洞,导致大量用户信息泄漏 | 漏洞盒子 | vulbox-2015-012302 |
金融 | 中国平安保险(集团)股份有限公司上万用户敏感信息泄漏(含车牌号,车主,车架号,地址,电话) | 乌云 | |
金融 | 泰康人寿某站点存在越权和注入等漏洞可导致泄漏任意企业用户敏感信息(姓名/手机号/邮箱等)大量用户以及当当网/东风/中石油/交通银行等员工躺枪 | 补天 | |
金融 | 中信证券某系统SQL注入漏洞泄露156W客户信息、资金余额、理财各种明细数据#可进入账号操作 | 补天 | |
金融 | 新华基金某漏洞泄露大量数据 | 漏洞盒子 | vulbox-2015-012587 |
金融 | 众安保险多处泄露大量保单(姓名\电话\身份证号码\邮箱\单号\住址) | 补天 | |
金融 | 某地金融资产交易所dba权限注入,数据全部泄露 | 补天 | |
金融 | 民安财产保险有限公司Getshell泄露超过500G数据库文件 | 补天 | |
金融 | P2P金融安全之钱爸爸sql注入漏洞(66W会员信息泄露) | 乌云 | |
金融 | 中国人民银行 某省分行某系统弱口令(涉及七万六千人银行从业人员信息) | 乌云 | |
金融 | 中国人寿官网用户信息大量泄漏 | 乌云 | |
金融 | 中信银行某站点后台弱口令导致Getshell(数据库信息泄露/影响内网安全) | 乌云 | |
金融 | 中国人民银行 某省分行某系统弱口令(涉及七万六千人银行从业人员信息) | 乌云 | |
金融 | 某市农商银行主站SQL注入(unicode编码绕过360防护) | 乌云 | |
金融 | 河南某银行系统网站SQL注入造成大量敏感信息泄露(可绕过WAF/87库) | 乌云 | |
金融 | 山西泽州农村商业银行SQL注入#DBA权限# | 补天 | |
能源 | 国家电网某管控终端系统SQL注入14个库DBA权限(已3389) | 乌云 | |
能源 | 中国电力某分站SQL注入漏洞(22个库) | 乌云 | |
能源 | 中国能建葛洲坝集团某系统漏洞泄露两百万社保数据#涉及养老保险、医疗、工伤等 | 补天 | |
运营商 | 中国联通某平台漏洞泄露浙江省所有基站/覆盖/网优/投诉(几十万)/报表信息 | 乌云 | |
运营商 | 中国银联某分公司商户站点存在sql漏洞,可导致大量商户交易流水存在泄漏风险 | 补天 | |
运营商 | 中国联通某重要站点SQL注入(近百万合作企业及业务员信息泄漏可load_file) | 乌云 | |
运营商 | 中国电信号某系统管理安全意识不足导致大量机票订单泄漏 | 漏洞盒子 | vulbox-2015-012390 |
运营商 | 12580某系统存在SQL注入(DBA权限+19个数据库+上百万的记录信息)+无验证导致弱口令可爆破泄漏几百万订单信息 | 补天 | |
政府 | 大庆市卫生局某系统漏洞泄露百万居民用户档案、健康报告等数据 | 补天 | |
政府 | 新乡市公安局车辆管理所某处SQL注入(目测全市车主信息) | 乌云 | |
政府 | 重庆人社局某站注入可导致200W数据泄露(绕过WAF) | 补天 | |
政府 | 陕西省民间组织管理局(全省500万老人姓名/照片/身份证/电话/家庭住址/社保发放银行/银行卡号等信息泄漏) | 补天 | |
政府 | 苏州车管所某处弱密码,泄露204万驾驶员信息 | 补天 | |
政府 | 西安车管所漏洞,大量数据泄漏 | 补天 | |
政府 | 国土资源部人事司SQL注入漏洞/dba权限 | 乌云 | |
政府 | 安平县卫生局某系统dba注入一枚(泄露300W 患者信息、#姓名#身份证#地址#户口信息#家庭编号等、加800W 药物信息、患者病情等..) | 补天 | |
政府 | 东莞市教育局办公后台弱口令致教师与东莞市所有中小学生档案信息泄露 | 乌云 | |
政府 | 浦东新区人力资源和社会保障局某系统getshell | 乌云 | |
政府 | 苏州市某住房和城乡某市建设局SQL多处打包(可跨库/sa权限/大量数据/漫游后台) | 乌云 | |
政府 | 广西省某重要系统SQL注入2枚,泄露全省企业数据 | 补天 | |
政府 | 海南省某重要系统SQL注入漏洞两枚,可导致大数量级信息存在风险 | 补天 | |
政府 | 河南省教育厅多处SQL注入#大数量级毕业生身份信息等敏感信息泄露 | 补天 | |
政府 | 河北疾控网某处SQL注入DBA权限涉及多个数据库 | 补天 | |
政府 | 安徽某养老保险漏洞,近上千万数据泄漏 | 补天 | |
政府 | 某政府在用系统三处通用注入漏洞可注射出数据库名 | 补天 | |
政府 | 山东省生育证预约系SQL注入泄露百万个人信息(看看哪些人要二胎) | 补天 | |
政府 | 益阳车管所高危漏洞(泄漏百万车主信息) | 补天 | |
政府 | 广西教育厅某系统两处漏洞泄露大量学生档案,以及大量父母个人信息#涉及全省高校/姓名/身份证/专业/手机号/收入等 | 补天 | |
政府 | 新乡人社局存在漏洞,大数量数据泄漏(含医保/养老保险/身份证号码等) | 补天 | |
政府 | 四川某居民卫生信息系统高危漏洞,泄露1600w居民档案 | 补天 | |
政府 | 汕尾市民政局两套系统漏洞泄露15W+居民个人/家庭档案、医疗救助费用报销数据 | 补天 | |
政府 | 河南省人口与计生委某系统漏洞泄露全省海量居民个人信息#涉及姓名/身份证/地址/家庭关系等,大数据大的惊人 | 补天 | |
政府 | 广电总局某系统未授权访问可查询任意户户通用户信息 | 乌云 | |
政府 | 山西省民政厅某系统2处漏洞泄露百万居民信息 | 补天 | |
政府 | 武汉市卫生局某系统多处漏洞泄露大量居民详细个人信息、医疗健康档案 | 补天 | |
政府 | 江苏省卫生厅某系统泄露内部海量敏感信息和百万卫生人员信息,看病住院成本太贵!!! | 补天 | |
政府 | 海南省某重要系统SQL注入漏洞2枚,可导致千万敏感信息泄漏 | 补天 | |
政府 | 某省级综治信息系统漏洞打包涉及千万级人口数据(弱口令+文件下载+Getshell可内网) | 乌云 | |
政府 | 银川市住房保障局某系统漏洞泄露30W+房产买卖信息#涉及买主个人信息/合同信息等 | 补天 |
联系作者
刘思成:安华金和数据库攻防实验室(DBSec Labs)安全研究员,专注于研究数据库漏洞的原理、利用方法和数据库防护技术。
Email:liusicheng@dbsec.cn
付蓉洁:安华金和市场部总监,负责公司整体品牌、产品及行业推广工作
Email:furongjie@dbsec.cn
沈雪峰:安华金和网络运营主管,安华每日安全资讯整理者
Email:shenxuefeng@dbsec.cn
关于安华金和
安华金和是我国专业的数据库安全产品和服务提供商,由长期致力于数据库内核研发大数据分析处理和信息安全领域专业资深人员共同创造,是国内知名提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。
云安全将是新的IT架构下的主要市场方向,安华金和将依托于在已形成的现有产品与技术基础,积极开拓在云上的数据库安全管理、数据库信息加密,与各云平台厂商和安全生态厂商共同合作,提供满足云平台下数据库安全基础架构产品。
安华金和产品及服务已经广泛地应用于政府、军队、军工、运营商、金融、企业信息防护等领域,建立了良好声誉,成为众多企业在该领域寻求安全产品和服务的首选。了解更多
有关数据库安全信息,请访问: www.dbsec.cn
安华金和官方微博:安华数据 http://weibo.com/DBSecurity
安华金和官方微信 搜索公众号 安华金和