某市房产管理局漏洞（涉及数百万身份信息/手机号/家庭住址/房屋合同等信息）

2017年5月3日05:12:45评论372 views字数 241阅读0分48秒阅读模式

摘要

2016-03-10：细节已通知厂商并且等待厂商处理中
2016-03-14：厂商已经确认，细节仅向厂商公开
2016-03-24：细节向核心白帽子及相关领域专家公开
2016-04-03：细节向普通白帽子公开
2016-04-13：细节向实习白帽子公开
2016-04-28：细节向公众公开

漏洞概要关注数(2) 关注此漏洞

缺陷编号： WooYun-2016-182845

漏洞标题：某市房产管理局漏洞（涉及数百万身份信息/手机号/家庭住址/房屋合同等信息）

漏洞作者：木易

提交时间： 2016-03-10 11:30

公开时间： 2016-04-28 16:02

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

code 区域

**.**.**.**/zhzt/help.jspx   leizi

通过配置数据库得到大量个人身份信息，房屋合同，交易数据。

code 区域

<jdbc-driver-params>
     <url>jdbc:oracle:thin:@**.**.**.**:1521/house</url>
     <driver-name>oracle.jdbc.OracleDriver</driver-name>
     <properties>
       <property>
         <name>user</name>
         <value>economy</value>
       </property>
     </properties>
     <password-encrypted>{AES}58cFvpu7wJ154vSDemjv/8jv2Xm37xAvxGLqEVw5Bpc=</password-encrypted>
   </jdbc-driver-params>
   <jdbc-connection-pool-params>  解密economy