从小区宽带OA系统的失控到泄漏他人上网敏感信息

登陆小区宽带OA系统，http://111.202.**.**/login.php，发现账号里的钱已经用光了。

于是就有了从免费蹭网，到发现小区宽带OA系统漏洞，在发现他人上网行为泄漏问题。整个小区个人信息全到碗里来。

通过端口27017扫描发现给数据库为MongoDB，MongoDB有个很傻的漏洞，大家都懂的。

账号密码都用密文传输，不想说什么了。

整个小区的个人信息，上网行为什么的全在数据库里。

通过user字段关联到具体哪个人是哪个小区的。

账号密码都用密文传输，不想说什么了。

整个小区的个人信息，上网行为什么的全在数据库里。

无

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2014-09-05 08:29

厂商回复：

CNVD确认并复现所述情况，至5日暂未能确认管理方，暂未进入处置流程。考虑到相邻网络攻击限制，rank 11

最新状态：

暂无

1. 2014-08-31 20:07 | 我还爱 ( 路人 | Rank:0 漏洞数:1 | 虚心学习)

   0

   这个可以有

   1# 回复此人

2. 2014-08-31 20:13 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

   1

   那碗够大吗

   2# 回复此人

3. 2014-08-31 21:17 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)

   0

   @Jack.Chalres 碗不够，还有缸

   3# 回复此人

4. 2014-09-01 08:58 | 晓海’ ( 路人 | Rank:1 漏洞数:3 | 一个IT界的酱油帝，坚信分享，创造未来！)

   0

   目测应该不是电信的线路。可能是长城的？

   4# 回复此人

5. 2014-09-01 09:09 | 小财 ( 路人 | Rank:4 漏洞数:2 | 天真声音又在回忆！仿佛一切不能逃避，流浪...)

   0

   嗯 这碗真够大的

   5# 回复此人

6. 2014-10-05 11:38 | 风花雪月 ( 实习白帽子 | Rank:67 漏洞数:49 | []+[]|[]-[][][][][]%[][]|[]/[]%[][]|[]/[...)

   0

   开门 我是物业的

   6# 回复此人

7. 2014-10-16 08:46 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

   0

   You are trying to access MongoDB on the native driver port. For http diagnostic access, add 1000 to the port number 这是啥意思

   7# 回复此人

8. 2014-10-16 08:48 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

   0

   MongoDB有个很傻的漏洞 求指出来

   8# 回复此人

9. 2014-10-17 12:58 | 老黑 ( 普通白帽子 | Rank:180 漏洞数:67 | 最爱红颜不老。)

   0

   MongoDB有个很傻的漏洞 求指出来

   9# 回复此人

10. 2014-10-20 02:16 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言，如此这般。)

    0

    @老黑 @kydhzy 免密码登陆。。。。。

    10# 回复此人