漏洞概要
关注数(24)
关注此漏洞
漏洞标题:南方航空某系统存在敏感信息严重泄露
提交时间:2014-08-10 11:09
修复时间:2014-09-24 11:10
公开时间:2014-09-24 11:10
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-08-10: 细节已通知厂商并且等待厂商处理中
2014-08-11: 厂商已经确认,细节仅向厂商公开
2014-08-21: 细节向核心白帽子及相关领域专家公开
2014-08-31: 细节向普通白帽子公开
2014-09-10: 细节向实习白帽子公开
2014-09-24: 细节向公众公开
简要描述:
中国南方航空公司某后台管理系统存在目录访问权限设置不严,导致整个管理平台的管理日志信息,用户线上交流信息全部泄露出来。包括用户机票订单号,用户联系方式,家庭地址等泄露。分析服务器日志 可以看到部分数据库表名 ,字段名和数据库操作流程等。
详细说明:
先确认下身份:
中国南方航空公司微信后台管理系统-URL:http://58.248.56.80/login.jsp 存在目录访问权限设置不严,导致整个管理平台的管理日志信息,用户线上交流信息全部泄露出来。包括用户机票订单号,用户联系方式,家庭地址等泄露。分析服务器日志 可以看到部分数据库表名 ,字段名和数据库操作流程等。
泄露感敏目录:
还有这个http://58.248.56.79/
Directory: /cswx/
META-INF/ 4096 bytes 2014-8-7 19:58:31
WEB-INF/ 4096 bytes 2014-8-7 19:58:31
css/ 4096 bytes 2014-8-7 19:58:31
fakeseatmap.html 2908 bytes 2013-12-4 18:19:42
html/ 4096 bytes 2014-8-7 19:58:31
images/ 4096 bytes 2014-8-7 19:58:31
index.jsp 159 bytes 2013-12-4 18:19:42
js/ 4096 bytes 2014-8-7 19:58:31
jsp/ 4096 bytes 2014-8-7 19:58:31
test.css 128 bytes 2013-12-4 18:19:42
PS:不知道为啥传图片有问题了,就酱紫来看吧!
这里只是截图证明问题存在,要说危害,有了用户的聊天纪录只要耐下心去翻日志翻到用户身份证号,银行卡号什么的也不是不可能。也可以去http://m.csair.com/上面给用户恶搞订机票啊 办理其他业务什么的。
漏洞证明:
看两个好玩的:
再来一个:
这个认证还没有失效-对,是今天早上的。。日志还是新鲜出炉的!!
来看看聊天纪录:
来看看微信数据库表和字段信息
修复方案:
日志文件不要放在这么明显的地方,加大文件目录权限设置。
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-08-11 09:05
厂商回复:
多谢白帽子的辛勤劳动
最新状态:
暂无