双鸭山住房公积金某漏洞涉及200万个人敏感数据

2017年4月4日22:42:07评论266 views字数 229阅读0分45秒阅读模式

摘要

2016-03-28：细节已通知厂商并且等待厂商处理中
2016-04-01：厂商已经确认，细节仅向厂商公开
2016-04-11：细节向核心白帽子及相关领域专家公开
2016-04-21：细节向普通白帽子公开
2016-05-01：细节向实习白帽子公开
2016-05-16：细节向公众公开

漏洞概要关注数(2) 关注此漏洞

缺陷编号： WooYun-2016-189393

漏洞标题：双鸭山住房公积金某漏洞涉及200万个人敏感数据

漏洞作者：路人甲

提交时间： 2016-03-28 13:20

公开时间： 2016-05-16 14:40

漏洞类型：命令执行

危害等级：高

自评Rank： 19

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

看到之前有人提交过但是并没有修补漏洞，漏洞依然存在。用我自己的方式再来一遍

code 区域

**.**.**.**/help.jspx   leizi
 
 
  <name>sys_web</name>
   <jdbc-driver-params>
     <url>jdbc:oracle:thin:@**.**.**.**:1521:ORA11G</url>
     <driver-name>oracle.jdbc.OracleDriver</driver-name>
     <properties>
       <property>
         <name>user</name>
         <value>SYS_WEB</value>
       </property>
     </properties>
     <password-encrypted>{AES}o64aNwdV8ZesLEZafWbVsD/E+grDRgqMBfpHgEJ1xjM=</password-encrypted>
   </jdbc-driver-params>
   <jdbc-connection-pool-params>
     <test-table-name>SQL SELECT 1 FROM DUAL</test-table-name>
 
                     解密 wasoft
 
 
   <jdbc-driver-params>
     <url>jdbc:oracle:thin:@**.**.**.**:1521:ORA11G</url>
     <driver-name>oracle.jdbc.OracleDriver</driver-name>
     <properties>
       <property>
         <name>user</name>
         <value>wasys3_sys</value>
       </property>
     </properties>
     <password-encrypted>{AES}3bN7UX03Ob39noD+TT1Ok48IzHq5H9p4RZOR9wZ6kVk=</password-encrypted>
   </jdbc-driver-params>
   <jdbc-connection-pool-params>
     <test-table-name>SQL SELECT 1 FROM DUAL</test-table-name>
 
 
    解密wasoft