2015年10月数据安全漏洞分析报告——安华金和

饿了么(外/内网)网络边界可全漫游(已撕进VPN)

乌云

吉林省人设厅某养老保险认证系统存在漏洞可getshell泄漏用户敏感信息姓名/身份证/电话等

乌云

厦门市人社局某系统漏洞可导致全市数十万已育妇女敏感信息泄漏

乌云

恒泰证券某站注入泄露26万用户信息

乌云

电力安全之江苏省电力监管系统getshell导致几十万用户信息公司/姓名/地址/电话等泄漏

乌云

小组饭严重设计缺陷（可使用他人积分/可登陆任意账号）

乌云

中国电信之翼实习某处修复不完全仍可SQL注入（DBA权限+几十万用户泄漏+你的简历信息我知道）

乌云

某市电信商城某处SQL未修复完可继续注入（DBA权限+十几万用户信息泄漏+弱密码可入后台）

乌云

山东省卫生厅某居民档案管理系统getshell已进服务器可泄露大量数据

乌云

吉林省某敏感系统信息泄露get至少1359w户籍信息

乌云

山西航天信息敏感信息泄露(邮箱/vpn/电话/oa系统)

乌云

惠普系列安全漏洞之PC机篇二（涉及110多万客户敏感信息包括姓名/电话/住址/邮箱等）

乌云

泰山保险某车险系统漏洞导致泄漏大量报案等信息

漏洞盒子

广州股权交易中心多处SQL注入/root权限/140个表/支持UNION

乌云

中国石油销量录入系统权限缺失导致账户泄露（用户名、密码、姓名、身份证号码等信息）

乌云

航空安全之均瑶集团旗下航空公司内网漫游(泄漏敏感信息W用户信息内部系统)

乌云

内蒙古某银行主站SQL注入（DBA权限&23库大量表）

乌云

无锡市车管所SQL注入漏洞导致大量车辆信息泄漏

乌云

青岛市黄岛区人力资源和社会保障局互动交流平台SQL注入漏洞

乌云

某省公安厅网上办事大厅某处存在SQL注入（DBA权限+涉及25个数据库+大量数据可泄露）

乌云

p2p安全之融贝网SQL注入漏洞，绕过WAF注入(大量用户信息泄露)

乌云

搜课网SQL注入影响30万学生数据

乌云

UCS官网SQL注入可导致3000w快递单信息泄露

乌云

四川金融资产交易所SQL注入(2160用户/可脱裤)

乌云

某市住房管理基金网站SQL注入(10数据库/22张表/上万用户信息)

乌云

驴妈妈旅游网某站SQL注入（tamper绕WAF/DBA权限/27个库)

乌云

糖果网逻辑漏洞（泄露所有用户家庭地址等信息、冒充用户，盗取所有用户余额）

乌云

同程全资子公司某系统存在通用型SQL注入(DBA权限)

乌云

中国电信某站存在高危web漏洞，导致getshell

漏洞盒子

内蒙古某市住房公积金管理中心存在SQL注射漏洞

乌云

美的某接口越权查看任意用户保修单信息（可影响大量数据）

乌云

格林豪泰酒店管理集团所有内部员工密码修改进而实现多个内部站点进入

乌云

安心贷主站多SQL注入打包(基于时间盲注/涉及多库)

乌云

泛华普益主站SQL注入漏洞（百万数据泄露）

乌云

中国电子商务信用认证平台SQL注射/大量信息泄露

乌云

华为某处缺陷导致十几万员工信息泄露(姓名/手机/邮箱/座机/办公位置)

乌云

快的打车某重要系统逻辑漏洞可泄漏大量用户敏感信息包括姓名/车牌号等

乌云

青海省某学籍系统存在漏洞，涉及众多学生信息

漏洞盒子

恒邦财产保险某站存在漏洞，泄露大量敏感信息

漏洞盒子

国家税务局某省重要系统getshell可导致数百万企业信息泄漏

补天

pptv一接口设计不当可导致撞库攻击

漏洞盒子

青岛市食药监督管理局某系统存在SQL涉及大量商户信息泄漏

乌云

新益华系统漏洞可危及河南全省医疗系统数亿的医疗补助数据及数千万的个人信息

补天

河北沧州某卫生平台漏洞泄露2002年至今数百万儿童信息#出生信息、父母、家庭地址信息等

补天

江苏省人力资源社会保障局数千万公民信息泄漏

补天

酷米游科技某站高危漏洞打包，泄露百万用户信息

补天

天象互动某站点配置不当#影响千万用户信息#千万短信记录

补天

福建省毕业生就业公共服务平台泄露300多万学生信息，任意账户登录，SQL注入等

补天

某省保险协会某系统大量敏感信息泄露（涉及几十个保险公司/手机邮箱/红头文件/财务报表等）

乌云

长城宽带某处上传漏洞，泄露千万用户数据，且涉及大量企业用户

补天

天津图书大厦网上商城天添网存在漏洞三处SQL注入打包

乌云

福建省毕业生就业公共服务平台GETSHELL，1G数据库全泄露，可直接下载

补天

延边人力资源和社会保障局旗下某站远程命令执行漏洞导致getshell并获得服务器权限

漏洞盒子

某敏感部门网上办事大厅另一端口多个参数存在SQL注入

乌云

山东省工商局漏洞随意办理业务百万企业备案数据及数百万企业法人详细信息

补天

中国石化某分公司运输系统SQL注入漏洞（DBA权限/涉及7个数据库）

乌云

中国500强企业永煤集团内网沦陷#vpn泄漏导致代理漫游内网#

补天

下厨房app敏感信息泄露

漏洞盒子

平顶山市房管局多个系统弱口令+SQL注入威胁公民信息安全（已shell数据库数百张表）

乌云

浙江省就业管理服务局某系统漏洞（超过百万学生姓名/身份证扫描件/银行卡号/手机泄露）

补天

河南省大中专毕业生就业信息管理系统默认管理员密码，泄露千万学生信息

补天

铜陵人社局漏洞，近千万数据泄漏

补天

陕西省工商局核心业务系统(多个数据库)沦陷可随意办理业务#危及数百万企业以及企业法人等非常详细信息

补天

某省国家税务局某系统getshell泄漏大量信息可内网渗透多个税务局系统

乌云

某12345市民热线系统getshell可泄漏全部用户信息如姓名/地址/手机号/所反映问题等

乌云

成人用品网站趣网某漏洞可泄露130W用户订单(包含姓名电话地址以及买了什么东西等)

乌云

河南毕业生就业信息网某站HTTP头注入，涉及学生学位信息（DBA权限）

乌云

辽宁省招生考试之窗SQL漏洞泄露百万信息

补天

宁夏人社厅系统漏洞千万公民信息危险(社保卡/金额/身份证/姓名/住址/医疗药品等数据)

补天

山东省教育厅高校毕业生就业网注入漏洞泄露近5年所有毕业生信息

补天

长安马自达汽车有限公司某论坛后台未授权访问/涉及27W会员数据

乌云

内蒙古招生考试信息网某站漏洞大量数据泄漏，近千万个人详细信息

补天

窝窝团某系统存在多处漏洞打包（7处SQL注入、5处越权等）可导致所有员工等信息泄漏

补天

山东大学DAB权限注射漏洞涉及67个库可至大量信息泄露

乌云

交通银行康联人寿某站点存在多处漏洞可导致全部用户保单信息泄漏（姓名、身份证、保险内容等）

补天

中国教育在线教育百事通SQL注入一枚泄露170W用户信息

乌云

山东高校毕业生就业信息网大量数据泄漏

补天

广州市食品药品监督管理局某系统存在POST注入以及后台管理弱口令

乌云

广西壮族自治区人民政府多台服务器存在多个漏洞、文件包含/弱口令/Getshell/远程命令执行/可提权/内网大量主机可导致漫游！

漏洞盒子

铜川市人力资源和社会保障局漏洞进而深入省网数千万个人详细信息及历史数据合集

补天

合众速递(UCS）主站存在SQL注入漏洞，涉及26个数据库，800W用户信息泄露

补天

山西焦煤集团内网沦陷#5T的数据文档泄漏#所有网段服务器任意登录#OA、mail等内部所有系统任意访问#集团所有员工信息、住房信息泄漏

补天

一号店存在重大现金漏洞优惠卷无限领漏洞，不花钱买掉一号店所有东西

补天

淮北人社局某处漏洞导致全市用户百万身份证信息泄漏

补天

黑龙江省某居民公共卫生信息系统另一站漏洞打包，泄露三个省1670w用户信息和近500w家庭信息

补天

华东师范大学开放教育学院某管理系统存在漏洞泄漏大量学生信息

补天

安徽省成人高校招生网某漏洞导致十几万考试信息泄露

补天

河南省大中专毕业生就业信息管理系统3枚注入

补天

珠海某技术学校存在注入泄露2W招生资料

补天

山东省教育厅工作人员安全意识不足可导致1200W+学生信息泄漏

乌云

启博软件微信分销平台漏洞#444w用户信息#35w订单信息#大量内部员工信息

补天

优信二手车官网某处SQL注入，可泄露全站数据

漏洞盒子

大连理工大学奇葩漏洞一枚,成功修改管理员密码,可查全校13万学生,3千教师资料.后台可任意上传文件

乌云

甘肃车管所漏洞打包，4000万数据存在泄漏风险

补天

江苏省某市疾控中心某查询系统SQL注入导致80多万信息泄露（儿童、家长姓名/籍贯/住址/电话等）

乌云

中石化集团总部深入内网#多个重要系统沦陷(安全设备/存储服务器/磁带库等)

补天

石家庄民政局SQL注入漏洞,可进后台，泄露全站数据库

乌云

湖南省社保厅某社会保障卡系统存在漏洞导致getshell#泄漏数千万敏感信息（姓名/地址/身份证等）

补天

浙江省公安厅泄露大量公民敏感信息

补天

南宁市某局近千万个人数据信息以及历史数据集合3.9亿详细记录

补天

中国铁通移动业务管理系统SQL注入/SA权限/泄露50WEOMS工单信息/学校名称/楼号/房间号

乌云

中国铁通某故障单系统SQL注入/root权限/188个表

乌云

云南电信宽带信息查询系统存在漏洞导致将近上亿信息泄漏#

补天

中国电信某系统漏洞再次泄露719万工单信息（姓名、号码、地址、级别等）、安全类工单信息

补天

广州联通办公系统漏洞导致4万多代理商用户信息泄漏以及大量工单信息#任意文件上传getshell

补天

东风标致某站SQL注入漏洞，十万注册车主及其他用户的数据

漏洞盒子

淘宝旗下淘点点(现口碑外卖)逻辑漏洞可黑产利用无限刷钱（人生巅峰不是梦）

补天

奇瑞徽银汽车金融多个系统存在安全漏洞，漏洞能量过大大导致标题都无法表达

补天

四川省工商局某系统getshell导致几十万用户敏感信息泄漏（姓名/身份证/手机号等）联通/中石油/建设银行/PICC等躺枪

乌云

重庆市某交通安全信息系统SQL注入(泄露大量敏感信息+35W驾驶员个人信息)

乌云

廊坊市人力资源和社会保障局某系统服务器getshell

乌云

厦门人社局主站存在POST注入漏洞，泄露千万敏感数据

补天

阜阳市人社局危及大量数据以及敏感业务系统(随意登陆银行业务人员账号)

补天

河北社保厅某漏洞导致上百万用户社保信息泄漏（包括姓名地址身份证社保号）

补天

蚌埠人社局某系统漏洞危及数千万详细信息以及数亿的历史数据集合(疑似省网数据库)

补天

中石化车e族APP存在SQL注入漏洞之一（可跨9个库）

乌云

海尔旗下日日顺商城SQL注入可导致300万会员信息泄漏

乌云

香港航空某站SQL注入（涉及156万乘客信息/268万机票信息/八千多员工信息）

乌云

中国电信某系统漏洞泄露400万用户信息、支付交易明细信息（超市购物/加油站加油）以及充值等数据

补天

邯郸市工信办漏洞危及大量个人信息以及金额等数据，百万用户数据

补天

世纪开元网存在注入漏洞导致大量用户敏感数据泄露（DBA权限）(涉及姓名/电话/支付宝/邮箱/qq/家庭住址/qq密码/支付宝密码等)

补天

新浪微博某分站存在SQL注入漏洞(46W+用户信息泄露)

乌云

中国联通宁安分公司办公系统SQL注入/root权限/356个表

乌云

黑龙江省某信息采集系统漏洞泄漏大量开房信息

补天

到家美食会某隐蔽SQL注入#数百万用户信息泄露

补天

爱抢购某多个数据库弱口令（60W用户/300G数据/活动码/API）

乌云

辽宁高校毕业生就业信息网漏洞几十万数据泄漏

补天

甘肃省委组织部危及全省2.2W干部个人信息(姓名,身份证,手机号,职位)

补天

上海市财务局某惠民基金管理系统getshell导致几十万用户姓名/银行卡/交易详情等信息泄漏

乌云

格林豪泰酒店主站存在SQL注入（涉及94w用户）

乌云

新疆经济报某系统漏洞内网数十台服务器沦陷(可随意编辑发布新闻稿)

补天

易车网某处存在SQL注入漏洞（可跨25个库及所有数据）附验证脚本

乌云

汕头大学某处存在漏洞导致20+网站沦陷/内网数据库漫游/getShell/

补天

泛华保险某站存在多处OR延时注入（DBA权限+涉及19个users）

乌云

中国电信某系统多处注入#可查全国上亿用户信息#涉及姓名、证件号、余额，并可进行充值、销户、换卡等操作

补天

沈阳医疗保险局漏洞可导致大量数据泄漏

补天

新疆地税局漏洞危及数亿发票信息以及发票密码以及个人信息#多台服务器沦陷

补天

黑龙江省某局漏洞危机全省数百万车主详细信息以及相关证件证明等数据

补天

河北省地税局数千万发票数据#内网多台服务器沦陷#多台网络核心设备沦陷

补天

日日顺网上商城漏洞修复不完善，可继续泄露数千万用户信息（姓名/地址/手机号等）

补天

爱丽时尚网某处高危漏洞，泄露377w用户信息

补天

中国民生银行某系统出现安全漏洞导致(Getshell/敏感数据泄漏/大量内部企业邮箱地址泄漏/多台外网主机泄漏）

补天

四川某市住房公基金SQL注入控制后台可导致泄露60多万用户数据

乌云

内蒙古税务局某系统弱口令导致getshell泄漏几十万用户敏感信息（账号/密码/姓名/手机号）

乌云

中国商业港多处SQL注入可导致395万会员信息泄漏（影响大量企业）

乌云

畅流云某站存在远程代码执行漏洞（可获取数据库）+多站存在登录弱口令

漏洞盒子

江西省工商局某服务平台某漏洞泄露企业登记信息

乌云

云南省交通厅两处注入漏洞，泄漏百万公民信息

补天

成都某口令导致政府内网入侵事件，特殊人群定位系统，国资委车辆信息，人口信息，短信平台和IT服务支撑系统，大屏幕切换等

补天

西北工业大学某校园相亲网存在SQL注入导致服务器getshell

乌云

某电网系统SQL注入16个库DBA权限

乌云

辽宁省某市公积金查询系统SQL注入打包/DBA权限/大量用户信息泄露

乌云

贵州省地税局漏洞危及200W纳税人详细信息

补天