盛大招聘存有Information Leakage | wooyun-2010-0405| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2010-0405

漏洞标题：盛大招聘存有Information Leakage

漏洞作者：路人甲

提交时间：2010-09-03 12:50

修复时间：2010-10-03 15:00

公开时间：2010-10-03 15:00

漏洞类型：敏感信息泄露

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2010-09-03：细节已通知厂商并且等待厂商处理中
2010-09-06：厂商已经确认，细节仅向厂商公开
2010-09-16：细节向核心白帽子及相关领域专家公开
2010-09-26：细节向普通白帽子公开
2010-10-06：细节向实习白帽子公开
2010-10-03：细节向公众公开

简要描述：

未关闭错误讯息

详细说明：

漏洞证明：

http://hr.snda.com/JobList.aspx?k=%22%3E%3Caaaa%3E&f=&d=&l=&e=&y=&p=
堆栈跟踪:
[HttpRequestValidationException (0x80004005): 从客户端(k=""><aaaa>")中检测到有潜在危险的 Request.QueryString 值。]
System.Web.HttpRequest.ValidateString(String s, String valueName, String collectionName) +8718538
System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, String collectionName) +111
System.Web.HttpRequest.get_QueryString() +129
System.Web.UI.Page.GetCollectionBasedOnMethod(Boolean dontReturnNull) +65
System.Web.UI.Page.DeterminePostBackMode() +63
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +6785
System.Web.UI.Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +242
System.Web.UI.Page.ProcessRequest() +80
System.Web.UI.Page.ProcessRequestWithNoAssert(HttpContext context) +21
System.Web.UI.Page.ProcessRequest(HttpContext context) +49
ASP.joblist_aspx.ProcessRequest(HttpContext context) in c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\c8456d17\85fff8c\App_Web_-bzr35oo.8.cs:0
System.Web.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +181
System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +75

修复方案：

1、在web.config 文件中，设置“<compilation debug=”false”/>”
2、在 ASP.NET所在的系统的Machine.config 启动“<compilation debug=”false”/>”，设置代码如下：
<system.web>
<deployment retail=”true”/>
</system.web>
这个在machine.config设置关闭网页追踪和详细的远程错误消息，关于这个设置的详细内容参见：
http://msdn.microsoft.com/zh-cn/library/ms228298(VS.80).aspx
machine.config 文件通常位于：
%SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG.

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2010-09-06 10:09

厂商回复：

多谢提交漏洞信息，已提交相关部门处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2010-0405

漏洞标题：盛大招聘存有Information Leakage

相关厂商：盛大网络

漏洞作者：路人甲

提交时间：2010-09-03 12:50

修复时间：2010-10-03 15:00

公开时间：2010-10-03 15:00

漏洞类型：敏感信息泄露

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2010-0405

漏洞标题：盛大招聘存有Information Leakage

相关厂商：盛大网络

漏洞作者： 路人甲

提交时间：2010-09-03 12:50

修复时间：2010-10-03 15:00

公开时间：2010-10-03 15:00

漏洞类型：敏感信息泄露

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2010-0405"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云