当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0163252

漏洞标题:娜迦移动安全各种敏感信息泄露涉及多个后台\企业邮箱\官方支付宝账户\短信推送后台\等

相关厂商:nagain.com

漏洞作者: 番茄师傅

提交时间:2015-12-22 10:16

修复时间:2016-02-04 17:47

公开时间:2016-02-04 17:47

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-22: 细节已通知厂商并且等待厂商处理中
2015-12-22: 厂商已经确认,细节仅向厂商公开
2016-01-01: 细节向核心白帽子及相关领域专家公开
2016-01-11: 细节向普通白帽子公开
2016-01-21: 细节向实习白帽子公开
2016-02-04: 细节向公众公开

简要描述:

娜迦移动安全各种敏感信息泄露,涉及多个后台\企业邮箱\官方支付宝账户\短信推送后台\等

详细说明:

看到他们在v2上招人 留了个企业邮箱.

63C2A23A-2E7B-40EB-9945-807F6F13F816.png


习惯性的在git上搜了下 发现邮箱一枚

79936BFA-89B2-4EA6-855D-322EC6B9A8AC.png


登陆进邮箱 发现大量敏感信息

A3110989-4569-4AE2-85D5-7B3C629A75D6.png


EB46C326-3A93-4A4E-A56B-21EEDC72C37C.png


2A3C0F76-D0CC-48DF-B6E1-0D8E52CF184F.png


DEBBAA37-F731-4B86-8517-969CEF2285CA.png


CFB324BC-3966-4667-8C93-2CF9F310C4ED.png


短信平台:

53D17563-61B0-415C-8D83-02F07721CCE8.png


1BD72415-BC13-46D0-A0B1-7E6A07178107.png


各种APP KEY

C37CD98B-FB48-4E93-B87E-FB2B07CC5E2A.png


好多系统放在内网.. 不深入了,期末考试快到了,得去图书馆预习了.

C5649DCE-F6FC-40D3-9B8E-71D658C28664.png

漏洞证明:

看到他们在v2上招人 留了个企业邮箱.

63C2A23A-2E7B-40EB-9945-807F6F13F816.png


习惯性的在git上搜了下 发现邮箱一枚

79936BFA-89B2-4EA6-855D-322EC6B9A8AC.png


登陆进邮箱 发现大量敏感信息

A3110989-4569-4AE2-85D5-7B3C629A75D6.png


EB46C326-3A93-4A4E-A56B-21EEDC72C37C.png


2A3C0F76-D0CC-48DF-B6E1-0D8E52CF184F.png


DEBBAA37-F731-4B86-8517-969CEF2285CA.png


CFB324BC-3966-4667-8C93-2CF9F310C4ED.png


短信平台:

53D17563-61B0-415C-8D83-02F07721CCE8.png


1BD72415-BC13-46D0-A0B1-7E6A07178107.png


各种APP KEY

C37CD98B-FB48-4E93-B87E-FB2B07CC5E2A.png


好多系统放在内网.. 不深入了,期末考试快到了,得去图书馆预习了.

C5649DCE-F6FC-40D3-9B8E-71D658C28664.png


修复方案:

不要在git上发敏感信息
圣诞快到了,有礼物吗?

版权声明:转载请注明来源 番茄师傅@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-22 10:18

厂商回复:

谢谢!

最新状态:

2015-12-22:哥们,留个联系方式,发个小礼物表示一下敬意。。