当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062643

漏洞标题:SAE新浪云平台某xml文件泄漏AppConfig配置信息(默认不存在)

相关厂商:新浪

漏洞作者: July

提交时间:2014-05-29 18:27

修复时间:2014-07-13 18:28

公开时间:2014-07-13 18:28

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-29: 细节已通知厂商并且等待厂商处理中
2014-05-30: 厂商已经确认,细节仅向厂商公开
2014-06-09: 细节向核心白帽子及相关领域专家公开
2014-06-19: 细节向普通白帽子公开
2014-06-29: 细节向实习白帽子公开
2014-07-13: 细节向公众公开

简要描述:

新浪云平台(sinaapp.com) AppConfig , 配置信息。某XML文件可读取 AppConfig信息。

详细说明:

新浪云平台,AppConfig 应用配置信息。 可以配置
1.简单认证
2.目录默认页面
3.自定义错误页面
4.页面压缩
5.URL重写(rewrite)
6.设置页面过期时间
7.设置文件类型
8.基于主机的访问控制
在座的机油有没有,试过(1) 简单认证服务呢?
当你对您的应用或应用的某个目录设置密码访问限制时配置信息都存在Config.yaml配置文件里。
Config.yaml文件是sae平台应用隐藏配置文件。当你访问应用根目录下/sae_app_wizard.xml文件时,是不是Config.yaml 配置信息及配置的目录访问密码就可以看到呢!
Config.yaml:
图样

TM截图20140528143515.png


sae_app_wizard.xml:
图样

.jpg

漏洞证明:

演示站点:http://www.in56.net/sae_app_wizard.xml

.jpg

修复方案:

版权声明:转载请注明来源 July@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-05-30 12:47

厂商回复:

感谢关注新浪安全,这个文件是在安装sae自带应用时存在,影响不是很大

最新状态:

暂无