当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0155780

漏洞标题:水贝街珠宝交易平台后台被猜解可导致重要信息泄露

相关厂商:shuibeijie.com

漏洞作者: sherwel

提交时间:2015-12-05 11:34

修复时间:2016-01-11 16:56

公开时间:2016-01-11 16:56

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-05: 细节已通知厂商并且等待厂商处理中
2015-12-09: 厂商已经确认,细节仅向厂商公开
2015-12-19: 细节向核心白帽子及相关领域专家公开
2015-12-29: 细节向普通白帽子公开
2016-01-08: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

该公司的文件保密性不够,导致泄露,猜解,进入数据库

详细说明:

该公司主页为http://www.shuibeijie.com/front/index
由于在github上面发现相关信息
https://github.com/Vurteon/mks-server/blob/1c7134abbd5dc4409ad2262443f755ae987e33d3/web/WEB-INF/c3p0_con_pool.xml
因为代码没有管理好,可以直接查看,
虽然用户名密码都是错的
但是通过蛛丝马迹,
猜出
用户名为root
密码为520520
默认数据库为test
就可以看到所有用户数据
然后根据里面的数据,拿了他们员工的账号,等一下账号,就登陆进去了

漏洞证明:

选区_030.png

选区_031.png

选区_032.png

选区_035.png

选区_033.png

修复方案:

小地方大问题,

版权声明:转载请注明来源 sherwel@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-12-09 15:28

厂商回复:

谢谢

最新状态:

暂无