漏洞概要 关注数(0) 关注此漏洞
缺陷编号: WooYun-2014-81298
漏洞标题: 乐元素架构系统实体安全之6合一
相关厂商: happyelements.cn
漏洞作者: 黑暗游侠
提交时间: 2014-10-30 09:57
公开时间: 2014-12-14 09:58
漏洞类型: 敏感信息泄露
危害等级: 高
自评Rank: 20
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 无
漏洞详情
披露状态:
2014-10-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-14: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
安全是一个过程,而不是一个产品。
详细说明:
乐元素在北京、日本京都、上海设有公司,同事来自十多个国家和地区。拥有二十余款原创和代理游戏运营在全球主流社交平台和移动平台上。每一天,乐元素都陪伴全球八百万玩家,享受游戏的乐趣。
漏洞证明:
#1 主站邮箱账号密码、服务器泄露
#2 多台服务器账号密码泄露
#3 实体安全,监控直接访问
#4 实体安全,多个内部system管理系统SSO访问
任一系统进入后跳入SSO认证
而SSO认证的账号密码,这儿泄露的一清二楚
#5 实体安全之 数据库、SSH 泄露
#6 私钥泄露
修复方案:
安全是一个过程,而不是一个产品。20rank
版权声明:转载请注明来源 黑暗游侠@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
登陆后才能进行评分
评论