漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0143735
漏洞标题:咕咚网某缺陷导致进入后台可能影响11万用户敏感信息
相关厂商:咕咚网
漏洞作者: orange
提交时间:2015-09-28 12:00
修复时间:2015-09-30 11:27
公开时间:2015-09-30 11:27
漏洞类型:系统/服务运维配置不当
危害等级:中
自评Rank:10
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-28: 细节已通知厂商并且等待厂商处理中
2015-09-28: 厂商已经确认,细节仅向厂商公开
2015-09-30: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
RT,终于连上数据库了,等等...
详细说明:
#缺陷URL
#缺陷ip
#漏洞成因
未关闭Django的debug模式
于是我就拿着密码,去了
这是Django自带的后台,账号admin,密码 codoon20140312 (审核人员请打个码)
貌似没什么有价值的信息,于是扫了一下这个域名
看到3306端口开着,没做ip限制,直接连接
影响11万用户!?,总觉得哪里不对
测试数据库??????!!!!
漏洞证明:
数据有点乱,我也不好随意猜测数据是否真实有效,就到这里吧
修复方案:
#加固服务器安全,部分端口关闭或限制外部连接
#密码不要通用
#DEBUG = False
#加强开发人员安全意识
版权声明:转载请注明来源 orange@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-09-28 18:17
厂商回复:
多谢,已确认漏洞
最新状态:
2015-09-30:已修复