漏洞概要 关注数(3) 关注此漏洞
缺陷编号: WooYun-2016-179198
漏洞标题: 聚宝汇某处信息泄露/后台沦陷/未授权访问/注入
相关厂商: 聚宝汇
漏洞作者: ago
提交时间: 2016-02-28 08:47
公开时间: 2016-04-13 08:47
漏洞类型: 成功的入侵事件
危害等级: 高
自评Rank: 20
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 安全意识不足 安全意识不足
漏洞详情
披露状态:
2016-02-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
在学校,我打篮球第一,饭量最大,运动也是强项,练就了一身强壮的肌肉,打架也没人打的过我,我说什么没人敢出来叫板。但我就想不通了,像我这么优秀的妹子,为什么却没人喜欢我呢?
详细说明:
公司 10.71.88.63
//do
162.243.143.97
45.55.17.171
//服务器
ssh -p 22529
wenjianhua
WJHNARUTO1991
/opt/webroot
//暂时不用数据库
10.71.84.161 dbjbwdb
DB_HOST=dbjbwdb
DB_DATABASE=jbwdb
DB_USERNAME=jbw
DB_PASSWORD=jbw
//线上数据库
10.72.63.128
root 123456
jyldb
//测试数据库
10.71.84.161
xboss xboss
//svn
https://10.72.63.129:8087/svn/jbwchina/01 CI/1.7 Code
用户名 jh-wen
密码 123456
前台:http://www.jbw666.com:8080/
后台:http://cms.jbw666.com:8000
后台账号:cmsadmin 123123
通用短信验证码是jbwyj
漏洞证明:
登录后台
发现不需要登录,直接有url就可以访问。权限设置没做好啊
证明整站都可以未授权访问,有打开一个链接
加了一个' 报错了。还有注入
修复方案:
增强员工安全意识,删除代码。访问做验证。注入应该还有,多检查下
版权声明:转载请注明来源 ago@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
( 核心白帽子 | Rank:3144 漏洞数:625 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
评论