漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-04665
漏洞标题:北辰国旅/海涛假期服务器高危漏洞
相关厂商:北辰国旅/海涛假期
漏洞作者: 巭
提交时间:2012-02-20 10:47
修复时间:2012-04-05 10:48
公开时间:2012-04-05 10:48
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-02-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
貌似这个旅行社还是北京蛮大的连锁旅行社。。。。
不过安全做的忒....了
简单的来说
1、用户名/密码挂在网上随便让人登陆玩
2、该禁用或限制使用的页面不禁用不限制
3、服务器压根儿没进行安全加固啊,你以为你win2008就NB啊
4、资料交给这样的旅行社太不放心了
5、竞争对手可以完全的掌握此家公司的完整情况,抢客户,下黑手,啥都成
详细说明:
图1:大摇大摆的用户名密码,居然直接用SA跑
图2:xp_cmdshell也不弄,直接可玩
图3:网站主目录,D盘内还有众多备份乱七八糟的东西
==============================================================
漏洞证明:
图1:大摇大摆的用户名密码,居然直接用SA跑
图2:xp_cmdshell也不弄,直接可玩
图3:网站主目录,D盘内还有众多备份乱七八糟的东西
修复方案:
1、加固
2、限制
3、关键是管理员需要养成安全风险意识
管理员弄弄就成了
版权声明:转载请注明来源 巭@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝