漏洞概要
关注数(24)
关注此漏洞
漏洞标题:监控宝apache server status可公开访问
提交时间:2014-05-29 18:43
修复时间:2014-07-13 18:44
公开时间:2014-07-13 18:44
漏洞类型:系统/服务运维配置不当
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-05-29: 细节已通知厂商并且等待厂商处理中
2014-05-29: 厂商已经确认,细节仅向厂商公开
2014-06-08: 细节向核心白帽子及相关领域专家公开
2014-06-18: 细节向普通白帽子公开
2014-06-28: 细节向实习白帽子公开
2014-07-13: 细节向公众公开
简要描述:
监控宝apache service status限制不够严谨,仍然可以直接访问。
详细说明:
细节决定成败,如果同样错误犯多次,还可以原谅么?
http://www.jiankongbao.com/server-status
一年前,就已经被提交漏洞
WooYun: 监控宝apache信息泄露
如今,这个问题还是存在,怎么说?
当然偶尔会报权限不够,不过还是可以轻易访问啊。
只能再敲打敲打了。
漏洞证明:
访问多次还是会报
显然你们知道限制权限了,但是不够严谨。
修复方案:
仍借用上次漏洞作者的话,身为专业运维的你,肯定比我更懂啦。
版权声明:转载请注明来源 木头影子@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2014-05-29 20:08
厂商回复:
非常感谢 “木头影子” 同学的“敲打”!
最新状态:
暂无