当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125445

漏洞标题:快递安全只中通快递某站数据可被打包下载

相关厂商:中通速递

漏洞作者: myhalo

提交时间:2015-07-08 19:11

修复时间:2015-08-23 11:30

公开时间:2015-08-23 11:30

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-08: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认,细节仅向厂商公开
2015-07-19: 细节向核心白帽子及相关领域专家公开
2015-07-29: 细节向普通白帽子公开
2015-08-08: 细节向实习白帽子公开
2015-08-23: 细节向公众公开

简要描述:

求个今天的首页

详细说明:

2.png


122.225.117.70

漏洞证明:

root@k:~# rsync 122.225.117.70::
www            	
wwwtest        	
img            	
wap            	
root@k:~# rsync 122.225.117.70::www
drwxr-xr-x        8192 2015/06/12 12:37:28 .
-rw-r--r--       66667 2015/03/14 14:12:38 1.txt
-rw-r--r--      717348 2015/03/12 10:32:47 111.txt
-rw-r--r--       65927 2015/03/14 14:12:40 2.txt
-rw-r--r--       64894 2015/03/14 14:12:42 3.txt
-rw-r--r--        2615 2014/09/17 21:35:34 404.aspx
-rw-r--r--         412 2014/11/11 11:31:05 CheckCode.aspx
-rw-r--r--         103 2014/08/15 09:11:16 Global.asax
-rw-r--r--        1087 2014/12/01 21:24:16 NLog.config
-rw-r--r--         414 2014/08/15 09:11:16 NewsDetail.aspx
-rw-r--r--         429 2014/08/15 09:11:16 SessionTest.aspx
-rw-r--r--          99 2014/08/15 09:11:16 UpdateHtml.asmx
-rw-r--r--       11323 2015/07/06 10:43:31 Web.config
-rw-r--r--        3403 2014/12/19 15:35:36 packages.config
-rw-r--r--          87 2014/08/15 09:11:16 test.asmx
-rw-r--r--         202 2013/12/07 19:27:50 结构目录说明.txt
drwxr-xr-x        4096 2015/03/13 21:27:46 AJAX
drwxr-xr-x           0 2015/03/13 21:27:55 Content
drwxr-xr-x        4096 2015/03/13 21:27:56 DataSource
drwxr-xr-x        4096 2015/04/24 18:22:49 Images
drwxr-xr-x        4096 2015/06/12 12:37:26 Libs
drwxr-xr-x     1048576 2015/03/13 21:27:41 NewsPages
drwxr-xr-x        8192 2015/03/13 21:27:43 Scripts
drwxr-xr-x           0 2015/03/13 21:27:43 SiteInfo
drwxr-xr-x           0 2015/03/13 21:27:44 Template
drwxr-xr-x           0 2015/06/09 16:37:31 TextLog
drwxr-xr-x        4096 2015/04/20 14:26:01 Views
drwxr-xr-x        4096 2015/03/13 21:27:47 app
drwxr-xr-x           0 2015/03/13 21:27:48 aspnet_client
drwxr-xr-x        8192 2015/06/12 12:33:41 bak
drwxr-xr-x       20480 2015/06/03 16:28:36 bin
drwxr-xr-x           0 2015/03/31 11:23:13 do_not_delete
drwxr-xr-x           0 2015/03/13 21:27:56 down
drwxr-xr-x        4096 2015/03/13 21:24:43 iframe
drwxr-xr-x       49152 2015/07/08 00:00:05 logs
drwxr-xr-x        8192 2015/03/13 21:26:23 m
drwxr-xr-x           0 2015/06/12 12:37:29 oneday
drwxr-xr-x        4096 2015/07/03 17:07:44 video


3.png


这个要全打包下来估计订单数据什么的都不是事

修复方案:

找运维啦

版权声明:转载请注明来源 myhalo@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-09 11:29

厂商回复:

感谢白帽子的辛苦劳动,开发人员已经在紧急修复。

最新状态:

暂无