当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022906

漏洞标题:华为官网WEB-INF目录配置文件导致信息泄露

相关厂商:华为技术有限公司

漏洞作者: Asuimu

提交时间:2013-05-02 10:49

修复时间:2013-06-16 10:50

公开时间:2013-06-16 10:50

漏洞类型:应用配置错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-02: 细节已通知厂商并且等待厂商处理中
2013-05-03: 厂商已经确认,细节仅向厂商公开
2013-05-13: 细节向核心白帽子及相关领域专家公开
2013-05-23: 细节向普通白帽子公开
2013-06-02: 细节向实习白帽子公开
2013-06-16: 细节向公众公开

简要描述:

WEB-INF目录权限未做控制,导致网站配置信息泄露。另外网站还存在源码泄露问题。

详细说明:

WEB-INF目录位置http://enterprise.huawei.com/topic/hcc/WEB-INF/
从默认web.xml文件入手寻找数据库配置文件
http://enterprise.huawei.com/topic/hcc/WEB-INF/web.xml

1.png


在classes/applicationContext.xml文件中找到了数据库配置文件db-config.xml

2.png


mysql数据库,限源了不能直接访问

4.png


其他配置文件

3.png


一些sql信息
http://enterprise.huawei.com/topic/hcc/WEB-INF/classes/userinfo.xml
另外还从web.xml中找到了fckeditor目录,但利用失败

6.png


源码泄露
http://enterprise.huawei.com/topic/hcc/login.jsp

7.png

漏洞证明:

修复方案:

web-inf目录权限控制

版权声明:转载请注明来源 Asuimu@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-05-03 16:34

厂商回复:

非常感谢Asuimu对我们的检测,该信息为一些静态文件,不会被处理,由于业务原因,放置到该目录下,已通知业务处理以免引起误会。

最新状态:

暂无