万达电影主站数据库信息泄露 | wooyun-2014-065054| WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞标题：万达电影主站数据库信息泄露

提交时间：2014-06-17 12:03

修复时间：2014-08-01 12:04

公开时间：2014-08-01 12:04

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-17：细节已通知厂商并且等待厂商处理中
2014-06-17：厂商已经确认，细节仅向厂商公开
2014-06-27：细节向核心白帽子及相关领域专家公开
2014-07-07：细节向普通白帽子公开
2014-07-17：细节向实习白帽子公开
2014-08-01：细节向公众公开

简要描述：

0.0

详细说明：

万达电影主站数据库信息泄露
上个漏洞的深入:
http://www.wandafilm.com/WEB-INF/classes/jdbc.properties
##############################################################################
datasource.driverClassName=oracle.jdbc.driver.OracleDriver
datasource.url=jdbc:oracle:thin:@192.***.***.68:1521:ora10g
datasource.username=WD_W****
datasource.password=WD_W****
c3p0.acquireIncrement=5
c3p0.initialPoolSize=2
c3p0.minPoolSize=2
c3p0.maxPoolSize=10
c3p0.maxIdleTime=600
c3p0.idleConnectionTestPeriod=3000
c3p0.maxStatements=6000
c3p0.numHelperThreads=10
##############################################################################
datasource2.driverClassName=oracle.jdbc.driver.OracleDriver
datasource2.url=jdbc:oracle:thin:@192.*.*.68:1521:ora10g
datasource2.username=WAN****
datasource2.password=WAN****
##############################################################################
proxool.driver=oracle.jdbc.driver.OracleDriver
#proxool.driverUrl=jdbc:oracle:thin:wd_we***/wd_w***@10.*.*.167:1521:ora10g
proxool.driverUrl=jdbc:oracle:thin:@(DESCRIPTION =(LOAD_BALANCE=yes)(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.*.6.20)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=wdyx)))
proxool.user=wa****lm
proxool.password=XpgN****ZyFzjF
proxool.alias=wa****lm
proxool.minimumConnectionCount=10
proxool.simultaneous-build-throttle=16
proxool.maximumConnectionCount=80
proxool.prototypeCount=0
proxool.houseKeepingTestSql=select sysdate from dual
proxool.testBeforeUse=false
proxool.trace=true
数据库什么的
http://www.wandafilm.com/WEB-INF/classes/applicationContext.xml
行了就这样吧求票。。。

漏洞证明：

如上

修复方案：

设置访问权限

版权声明：转载请注明来源爱上平顶山@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-06-17 14:41

厂商回复：

感谢“爱上平顶山”同学的关注与贡献！此漏洞确认存在，已敦促业务马上整改。低级错误导致重大漏洞，教训啊！请私信联系选礼物。谢谢！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065054

漏洞标题：万达电影主站数据库信息泄露

相关厂商：大连万达集团股份有限公司

漏洞作者：爱上平顶山

提交时间：2014-06-17 12:03

修复时间：2014-08-01 12:04

公开时间：2014-08-01 12:04

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源爱上平顶山@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065054

漏洞标题：万达电影主站数据库信息泄露

相关厂商：大连万达集团股份有限公司

漏洞作者： 爱上平顶山

提交时间：2014-06-17 12:03

修复时间：2014-08-01 12:04

公开时间：2014-08-01 12:04

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-065054"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：爱上平顶山

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源爱上平顶山@乌云