[爆卦] 戶政系統被中國人發現4處SQL漏洞

作者Telemachus (Evolution)
看板Gossiping
標題[爆卦] 戶政系統被中國人發現4處SQL漏洞
時間Wed Dec 30 19:58:30 2015

來源：http://www.wooyun.org/bugs/wooyun-2015-0164499

[漏洞概要]
缺陷編號: WooYun-2015-164499
漏洞標題：台灣戶政事務所4處通用SQL注入漏洞（dba權限）
相關廠商：Hitcon台灣互聯網漏洞報告平台
漏洞作者：路人甲
提交時間：2015-12-25 13:50
公開時間：2016-03-28 18:31
漏洞類型：SQL注射漏洞
危害等級：高
漏洞狀態：已交由第三方合作機構(cncert國家互聯網應急中心)處理
漏洞來源：http://www.wooyun.org
Tags標籤：無

[漏洞詳情]
披露狀態：
2015-12-25：細節已通知廠商並且等待廠商處理中
2015-12-29：廠商已經確認，細節僅向廠商公開
簡要描述：台灣戶政事務所4處通用SQL注入漏洞（dba權限）
漏洞hash：d3e877cb217f3b11d801cab83878eefd
版權聲明：轉載請註明來源 路人甲@烏雲

[漏洞回應]
廠商回應：
危害等級：高
漏洞Rank：14
確認時間：2015-12-29 18:31
廠商回覆：CNVD確認並復現所述情況,已經轉由CNCERT向TWNCERT通報,由其後續協調網站管理單位處置.
最新狀態：暫無

--
        ★President Wisdom Examiner ▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁╳
           您的狀態設為「逃避現實」，您可以選擇河蟹真相，但人民將  
           知道您完全無能。                                        
             ▁▁▁▁▁▁▁▁   ▁▁▁▁▁   ▁▁▁▁▁▁▁▁▁    
             ▏ 河蟹資訊(C)  ▏ ▏下台(X) ▏ ▏ 中南海說明(H)  ▏  
             ▇▇▇▇▇▇▇▇   ▇▇▇▇▇   ▇▇▇▇▇▇▇▇▇    

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.47.180.116
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1451476717.A.D19.html
噓 Jimmy2010: 都什麼年代了還會被 SQL Injection 12/30 19:59
噓 saiulbb: SQL INJECTION 12/30 19:59
推 kopune: 台灣會多出幾億人口票投KMT嗎!!!!!!!!!!!!!!!???????????? 12/30 20:00
→ hkt0857: 有體液injection再說 12/30 20:00
推 xzcb2008: 靠能夠被sql inj真的很扯啦 12/30 20:01
→ hugh509: 第三方合作機構(cncert國家互聯網應急中心) 12/30 20:01
→ kurtsgm: 寫code寫到會被sql injection是不被允許地 12/30 20:01
推 mithralin: 再外包給對岸嘛....ㄎㄎ 12/30 20:01
推 widec: 幹 後門被發現了！ 12/30 20:02
推 eowa: SQL injection... 有夠low的 12/30 20:02
→ drigo: 遠端直接幫你加幾萬人幽靈台灣人 12/30 20:02
推 bruce511239: 下個月426都可以領選票了(?) 12/30 20:02
推 adhere: 這個年代還有這個洞，前幾年驗收時有沒有人放水啊？ 12/30 20:03
→ boogieman: 外包給中國人寫的系統不意外 12/30 20:04
推 jetalpha: 後門被發現啦啦啦~ 12/30 20:04
→ rainf: 呵呵 還有人想開放不在籍投票 12/30 20:06
推 kenyun: 承包公司一百萬資本額  馬政府很會玩呀 12/30 20:06
→ boogieman: 可見沒認真做弱掃啊 放水放真大 12/30 20:06
→ moto000: 廢到笑 12/30 20:07
推 se2422: 爛透了 12/30 20:07
噓 vaio5566: SQL Injection一直是OWASP Top 10的第一名 12/30 20:07
→ ZhouGongJin: 這樣推線上灌票比較容易 12/30 20:09
推 blaz: 有沒有這麼蠢，這是入門級的 bug 吧 12/30 20:09
推 YahooTaiwan: 也沒有到入門吧，也要看一下找漏洞的是哪個等級 12/30 20:11
→ k134563: 資拓裡面早都是支那人 12/30 20:11
推 kopune: KMT逆轉勝就靠這個了 12/30 20:11
推 Nravir: 台灣不都用老舊軟硬體嗎!? 12/30 20:15
→ snow3804: 這麼低等的錯誤 12/30 20:25
→ DrTech: 前幾年，政府花了三千萬，對gov進行弱點掃描 12/30 20:26
→ DrTech: 結果用了特定廠商的弱點掃描系統隨便掃掃而已，蠻好賺的 12/30 20:27
推 edwarkingsir: 誇張  這種就像自己買書 然後第一次寫出來程度一樣 12/30 20:28
噓 a1098137129: vaio5566內行人  sql injection  是最系統會出現的bu 12/30 20:28
噓 dreamtime09: 新手可以不要裝懂嗎? 以為自己知道的名詞就是LOW? 12/30 20:42
→ EmiruKitty: 我聖誕節去新北市某戶政事務所 他們主機就放在櫃台上 12/30 20:46
→ EmiruKitty: 向外有好多空的USB port..隨便稱不注意插個病毒... 12/30 20:47
推 loverpost: 所以前面有篇資訊專員薪水比別人少不是沒道理的 12/30 20:51
推 iceonly: 問問，這種東西不是透過preparedstatment就能解決的嗎？ 12/30 21:14
噓 kevin190: 唉，通常政府機關都是資料被撈得差不多了才發現漏洞 12/30 22:16
推 tcboy: 故意的嗎 12/30 22:53
推 metcc80211: 幹你娘國民黨執政，什麼鬼怪事都會發生，明明新的程式 12/31 01:53
→ metcc80211: 語言及資料庫，都可以依照避免這類攻擊，結果程式還是 12/31 01:54
→ metcc80211: 被掃到漏洞，還是這幾年才開發的，除非是拿十年前的系 12/31 01:54
→ metcc80211: 統拼裝的。 12/31 01:54
推 Anddyliu: 召喚v99999 12/31 10:41
推 anetha: 高調！這個如果從源頭下手的話，怎樣都監不到！ 12/31 12:38
推 eltonchung: 高調 12/31 13:03
推 e0326: 高調啊!!根本是惡意 12/31 14:06
推 a7412582: 高調！！ 12/31 14:50
推 cywhale: 推一個 需要關注... 12/31 15:05
推 a2603: 大家放心 這叫作介接 12/31 15:37
推 isource: 高調推，戶政外包給中資，就是要玩死你台灣選舉 12/31 16:05
→ isource: 莫忘2012預言的數字689 609!! 12/31 16:06
推 QAOa: 高調啊 12/31 16:26
推 samdi: 高調 12/31 17:00
推 soooooooo: 我期末考攻防要考SQL Injection 12/31 18:38
推 gino801: 幫高調 12/31 21:24
推 Su22: 高調 12/31 21:34
→ Su22: 借轉公民版 12/31 21:37
※ Su22:轉錄至看板 PublicIssue                                     12/31 21:37
→ wxtab019: [新聞] 全台最大票倉　新北選舉人數破320萬人 12/31 22:35
推 Ives20130: 垃圾國民黨這麼愛舔共就滾回去 01/01 11:33