漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03045
漏洞标题:网易分站敏感信息泄露及xss
相关厂商:网易
漏洞作者: zeracker
提交时间:2011-10-19 13:40
修复时间:2011-11-18 13:41
公开时间:2011-11-18 13:41
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-10-19: 细节已通知厂商并且等待厂商处理中
2011-10-21: 厂商已经确认,细节仅向厂商公开
2011-10-31: 细节向核心白帽子及相关领域专家公开
2011-11-10: 细节向普通白帽子公开
2011-11-20: 细节向实习白帽子公开
2011-11-18: 细节向公众公开
简要描述:
http://XXXXX.163.com/.svn/entries
可通过 URL 直接下载或查看 Web 程序目录结构、源代码、
Subversion 服务器地址、有权限修改程序的账号等信息。
------------------------------------------------------------
恶意用户可能会注入易受攻击的应用程序来欺骗用户,以收集数据,从他们的JavaScript,VBScript中的ActiveX,HTML或Flash。攻击者可以窃取会话cookie和接管帐户,模拟用户。它也可以修改的内容呈现给用户的页面。
详细说明:
http://xsl.163.com/.svn/entries
受影响的项目
/ 8432007.do
/ 8434021.do
/ 8434024.do
/ 8435007.do
Subversion 服务器地址、有权限修改程序的账号等信息
/ 8438009.do
/ 8438013.do
/ 8438018.do
/ 8438027.do
/ 8439033.do
/ 8444009.do
/ 8444010.do
/ 8445005.do
/ 8450040.do
/ 8450045.do
/ 8450049.do
/ 8450053.do
/ 8451026.do
/ 8451035.do
/ 8451036.do
/ 8451044.do
/ 8453048.do
/ 8457008.do
/ 8457028.do
/ 8457038.do
/ 8466008.do
/ 8466010.do
/ 8466028.do
/ 8466031.do
/ 8471033.do
/ 8510037.do
/ 8510040.do
/ 8510041.do
/ 8510042.do
/ 8510044.do
/ 8510045.do
/ 8510046.do
/ 8510047.do
/ 8510049.do
/ 8510050.do
/ 8510051.do
/ 8510053.do
/ 8511035.do
/ 8511039.do
/ 8511041.do
/ 8511044.do
/ 8511047.do
/ all.do
/ ALL - p1.do
/ ALL - p2.do
/ ALL - p3.do
/ ALL - p4.do
/ ALL - p5.do
/ xsl.do
漏洞证明:
http://xsl.163.com/.svn/entries
修复方案:
删除/过滤所有 .svn 目录,限制访问 .svn 目录及此目录内任何文件
过滤。。
版权声明:转载请注明来源 zeracker@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2011-10-21 10:12
厂商回复:
非常感谢,尽快修复。
最新状态:
暂无