招商银行某站未授权访问与弱口令安全隐患

140.206.58.111未授权访问导致源码数据库信息泄露，并可通过jenkin执行系统命令（未测试是否可外连,icmp未被禁止）

通过140.206.58.111发现一个项目并部署在coupon.o2o.cmbchina.com上，通过jenkin发现后台管理员帐户密码

通过端口扫描180.169.45.105，发现phabricator管理员用户存在弱口令，可查看APP掌上生活的部分源码并修改

1、jenkin未授权访问

http://140.206.58.111/script

2、jenkin泄露项目源码数据库

http://140.206.58.111/job/yummy-master_build/ws/work/yummy-master/yummy-oms/target/yummy-oms

3、通过jenkin泄露的用户在

coupon.o2o.cmbchina.com

上成功登录

4、180.169.45.105弱口令导致掌上生活的部分源码泄露

密码密码密码

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-04-12 11:16

厂商回复：

感谢你对招行的关注。

漏洞Rank：12 (WooYun评价)

最新状态：

暂无

1. 2016-04-11 18:02 | 夏殇 ( 实习白帽子 | Rank:44 漏洞数:26 | 不忘初心，方得始终。)

   1

   我发现洞主专搞银行

   1# 回复此人

2. 2016-04-11 18:34 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

   1

   总感觉 洞主迟早被抓

   2# 回复此人

3. 2016-04-12 11:19 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

   1

   总感觉 洞主迟早被抓

   3# 回复此人

4. 2016-04-12 11:24 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

   1

   为什么忽略，why！

   4# 回复此人

5. 2016-04-12 11:24 | 白泽 ( 普通白帽子 | Rank:205 漏洞数:19 | 放假中。。。)

   1

   @招商银行 您有一个漏洞被厂商 忽略

   5# 回复此人

6. 2016-04-12 11:38 | Lar2y ( 实习白帽子 | Rank:31 漏洞数:12 | 有活跃团队要人么？求带飞)

   1

   总感觉 洞主迟早被抓

   6# 回复此人

7. 2016-04-12 13:57 | 苏珞漓 ( 实习白帽子 | Rank:37 漏洞数:3 | 大名苏珞漓,小名初九。 是个黑阔！)

   1

   总感觉 洞主迟早被抓

   7# 回复此人

8. 2016-04-13 11:34 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   1

   怎么忽略了的

   8# 回复此人

9. 2016-04-14 17:50 | GANDALF THE WHITE ( 实习白帽子 | Rank:70 漏洞数:21 | 但我相信，能战胜未知困难的，不是止步不前...)

   1

   怎么可能被抓，他都提交了啊

   9# 回复此人

10. 2016-04-16 16:36 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    1

    总感觉 洞主迟早被抓 看了不少 哈哈哈哈

    10# 回复此人