首都在线某处未授权访问/成功连接redis/登录一枚邮箱/多个内网密码泄露

2017年4月23日07:54:21评论273 views字数 265阅读0分53秒阅读模式

摘要

2016-04-21：细节已通知厂商并且等待厂商处理中
2016-04-25：厂商已经确认，细节仅向厂商公开
2016-05-05：细节向核心白帽子及相关领域专家公开
2016-05-15：细节向普通白帽子公开
2016-05-25：细节向实习白帽子公开
2016-06-09：细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-198750

漏洞标题：首都在线某处未授权访问/成功连接redis/登录一枚邮箱/多个内网密码泄露

漏洞作者：路人甲

提交时间： 2016-04-21 11:30

公开时间： 2016-06-09 15:50

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感信息泄露敏感接口缺乏认证未授权访问

0人收藏

漏洞详情

披露状态：

简要描述：

首都在线

详细说明：

mask 区域

1.http://**.**.**/bugs/wooyun-2010-0176803_
 **********
 *****修复了,但*****
 **********
 *****置的给*****
 *****洞*****
 **********
 *****4d3ebdfe1af20eda7d60.png&qu*****
 **********
 *****项目源码*****
 **********
 *****一个war *****
 **********
 2.://**.**.**/job/ucenter/com.cds.ucenter$ucenter-service/lastSuccessfulBuild/artifact/com.cds.ucenter/ucenter-service/0.0.1-SNAPSHOT/ucenter-service-0.0.1-SNAPSHOT.war_
 **********
 *****37642226f96641a6701b.png&qu*****
 **********
 *****1e24c54f4e065b31f406.png&qu*****
 **********
 *****PSHOT/WEB-INF*****
 **********
 *****9e2d1d621f91d19920e6.png&qu*****
 **********
 *****外的数据*****
 **********
 *****e=com.p6spy.engi*****
 *****3306/userinfo?ch*****
 *****name=*****
 *****-ucenter&*****
 **********
 *****is*****
 *****### Redis *****
 *******.**.*****
 *****ort=*****
 *****s=cds*****
 *****axId*****
 *****Activ*****
 *****Wait=*****
 *****w=true<*****
 **********
 *****39ed65189b81468b165f.png&qu*****
 *****p
 *****
 *****#########  base*****
 3.://**.**.**/_
 *****l=sim*****
 *****China,DC=d*****
 *****dmin,OU=Users,OU=BeiJing*****
 *****nistrator,CN=Us*****
 *****entials=*****
 *****
 *****de&g*****
 **********
 *****##########  bas*****
 4.://**.**.**/_
 *****ore=D:/*****
 *****Passwd=*****
 **********
 5.://**.**.**/_
 *****el=si*****
 *****-China,DC=*****
 *****Admin,OU=Users,OU=BeiJin*****
 *****inistrator,CN=U*****
 *****=1q2w3e_7u8i*****
 **********
 *****il*****
 *****;#emai*****
 *****pitalonlin*****
 *****l.**.*******
 *****=capita*****
 *****=q1a2s3*****
 *****843192@******
 *****urce_mail.vm*****
 **********
 *****812223f8f6dc26cde22ab0.png*****

漏洞证明：

修复方案：

安全意识。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-04-25 15:47

厂商回复：

CNVD确认所述情况,已经转由CNCERT下发给北京分中心,由其后续协调网站管理单位处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-198750

漏洞标题： 首都在线某处未授权访问/成功连接redis/登录一枚邮箱/多个内网密码泄露

相关厂商： CNCERT

漏洞作者： 路人甲

提交时间： 2016-04-21 11:30

公开时间： 2016-06-09 15:50

漏洞类型： 未授权访问/权限绕过

危害等级： 高

自评Rank： 12

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 敏感信息泄露 敏感接口缺乏认证 未授权访问

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(5) 关注此漏洞

漏洞标题：首都在线某处未授权访问/成功连接redis/登录一枚邮箱/多个内网密码泄露

漏洞作者：路人甲

漏洞类型：未授权访问/权限绕过

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：敏感信息泄露敏感接口缺乏认证未授权访问

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分