WooYun.org

刚才在发了一个关于政府信息系统的特例后，在网上继续看了一些关于信息系统的平台，发现了几家商户使用的华创通用信息系统普遍存在目录遍历，并在/data/attachfile/文件中存在商家在系统平台中的订单、配置单等大量商业信息，可直接下载，并在日志中完整的记录着管理者的操作，并在日志中明文记录了管理者登录的帐号密码以及数据库库名、cookie信息
华创通用信息系统开发的该信息系统平台，我个人推测是只有与网站整合了的才能被利用到，而内网使用的当然就无法测试了
以我扫到的这三家网站为例
汇鸿广电：http://www.huihongled.com/
北京美格励致科技有限公司：http://www.bjmglz.com（自助设备生产商，跳沙盒环境大多都是拿这种自助设备下手的，在信息系统中也泄漏了这些设备订单的相关数据配置）
北京恒鑫亚:http://www.hallsia.com/
http://www.intehel.cn(这两个都是恒鑫亚的网站)
这里似乎是对信息系统与网站做了整合，在加www的前缀时显示的企业网站都是正常的，也没有目录遍历的情况，但是当去掉www后直接输入域名并加上华创通用信息系统常用的目录就会遍历，例如data log program OnlineDown asp xlstemplate等等文件夹

/data/attachfile/文件夹中存放了各种商业信息，包括订单详情、客户资料、各种产品的配置等等，因企业所从事的行业不同而影响不同，在此不一一列举

在log文件夹下泄漏了用户的操作记录甚至是一些重要的敏感信息

因数据量较大，在此不一一列举，时间关系，也不再对涉及此漏洞的其他网站做渗透测试