神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

admin 2017年5月5日20:11:50评论500 views字数 254阅读0分50秒阅读模式
摘要

2016-03-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-26: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(4) 关注此漏洞

缺陷编号: WooYun-2016-183599

漏洞标题: 神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

相关厂商: 北京神举科技有限公司

漏洞作者: 路人甲

提交时间: 2016-03-12 09:09

公开时间: 2016-04-26 09:09

漏洞类型: 基础设施弱口令

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 管理后台对外 敏感信息泄露 用户敏感信息泄漏 后台地址泄露

0人收藏


漏洞详情

披露状态:

2016-03-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

叮咚西游:http://www.9game.cn/dingdongxiyou/
内网IP外泄

详细说明:

叮咚西游官方:http://www.godsgive.com/

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

zhanghao:westroad11

mima:love1107

漏洞证明:

code 区域
http://121.42.208.220:21080/bf/mng/action/index.php

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

code 区域
http://114.215.156.139:21080/bf/mng/action/index.php

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

神举科技叮咚西游后台沦陷(涉及用户数据/等全部资料可操作)运营风险

修复方案:

内网外泄

IP限制

后台验证

等等...

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分


评价

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin