tanishkshindepatil01/Indian-Government-Vulnerability-Disclosures

# Indian-Government-Vulnerability-Disclosures 安全研究与漏洞披露（印度政府）关于印度政府域名（.gov.in）的负责任漏洞披露合集。包含经 NCIIPC 确认的 SQL Injection（MS SQL、MySQL）和信息泄露（CWE-548）的概念验证。 # 漏洞披露作品集：印度政府 **研究员：** Tanishk Nanasaheb Shinde **关注领域：** 印度政府基础设施（`.gov.in`） ## 📄 概述 本仓库记录了在道德安全研究过程中在各种印度政府网站发现的安全漏洞。这些发现包括邦和中央政府域名中的关键信息泄露问题和 SQL 注入漏洞。 ## 🏆 致谢与报告 * **NCIIPC RVDP：** 国家关键信息基础设施保护中心确认的多个问题。 * **地方自治政府部（喀拉拉邦）：** 识别并记录了 SQL 注入漏洞。 ## 🔍 发现摘要 ### 1. SQL Injection（严重） **使用工具：** SQLMap, Burp Suite **影响：** 未经授权的数据库访问、Schema 枚举以及潜在的数据转储。 | 目标域名 | 漏洞 | 数据库 | 影响 / 详情 | | :--- | :--- | :--- | :--- | | **lsgkerala.gov.in** | SQL Injection | Microsoft SQL Server 2005 | **数据库沦陷：** 在 `QBillDistWise.php` 上成功注入。枚举了系统表（`master` DB）并转储了 Schema 权限。 | | **nfal.gov.in** | SQL Injection | MySQL | **后端访问：** `censorerecord-details.php` 中的漏洞。已获 NCIIPC 确认。 | ### 2. 信息泄露 (CWE-548) **方法：** Google Dorking (`inurl:gov.in intitle:"index of"`) **影响：** 敏感公民数据和内部文件泄露。 | 目标域名 | 漏洞 | 影响 / 泄露数据 | | :--- | :--- | :--- | | **electiondata.mcgm.gov.in** | 目录列举 | **敏感选民数据：** 泄露了包含公民姓名、照片和地址的“最终选民名单”。 | | **tnsdma.tn.gov.in** | 目录列举 | **内部联系信息：** 泄露了包含政府官员直接联系方式的“2020 年电话簿”。 | | **tnidb.tn.gov.in** | 目录列举 | **内部文件：** 泄露了采购文件和意向书征集（REOI）。 | ## 📸 概念验证 *请参阅上传的 PDF 报告以获取完整的技术证据。* * **LSG Kerala (SQLi)：** `Report_LSGKerala_SQLi.pdf` - 展示了 `sqlmap` 转储 `dbo.spt_values` 表并识别数据库版本的过程。 * **MCGM 泄露：** `Report_MCGM_VoterLeak.pdf` - 包含选民 PDF 文件的开放目录截图。 * **TNSDMA 泄露：** `Report_TNSDMA_PhoneDirectory.pdf` - 内部电话目录泄露的证据。 ## ⚠️ 免责声明 本仓库仅用于**教育和作品展示目的**。 * 所有漏洞均是在独立安全研究期间发现的。 * 所有问题在公开发布前均已负责任地披露给相关主管部门。 * 我不鼓励或支持任何非法活动或对系统的未经授权访问。

标签：Burp Suite, CISA项目, CWE-548, Google Dorking, MS SQL, NCIIPC, PoC, SQLMap, Windows内核, 信息泄露, 印度政府, 合规披露, 政府域名, 敏感数据, 数据泄露, 数据转储, 暴力破解, 概念验证, 漏洞披露, 白帽子, 网络安全, 网络安全审计, 隐私保护