当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010221

漏洞标题:盛大在线某应用mysql数据库架构及几十G的备份数据暴露,也不知道要不要紧?

相关厂商:盛大在线

漏洞作者: 有礼物送上

提交时间:2012-07-27 17:25

修复时间:2012-09-10 17:25

公开时间:2012-09-10 17:25

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-27: 细节已通知厂商并且等待厂商处理中
2012-07-27: 厂商已经确认,细节仅向厂商公开
2012-08-06: 细节向核心白帽子及相关领域专家公开
2012-08-16: 细节向普通白帽子公开
2012-08-26: 细节向实习白帽子公开
2012-09-10: 细节向公众公开

简要描述:

早上听说盛大云被攻击,去看了看他们的应用,果然问题很多!

详细说明:


一个比较重要的数据库备份服务器ftp匿名访问:
211.147.0.52

漏洞证明:









这个ip段的mysql数据库比较集中啊!另外配置文件中的地址测试,服务器都是在使用中的。

修复方案:

下下来看了看,大量的数据库交互配置文件及备份文件,解压后,都是几G、几十G的mysql备份文件等,选择一个100M的备份文件导入本地数据库导了半天还没导完,难得去看了,盛大准备发什么礼物了?

版权声明:转载请注明来源 有礼物送上@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-07-27 22:09

厂商回复:

非常感谢有礼物送上提交漏洞信息。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-27 17:25 | 腰上有胸器 ( 路人 | Rank:11 漏洞数:5 | 一根带刺的黄瓜和一个女人的故事。)

    神奇的路人甲。

  2. 2012-07-27 17:42 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    这个NB啊。

  3. 2012-07-27 17:57 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    对盛大表示无语;

  4. 2012-07-27 17:59 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    对马甲表示乌云

  5. 2012-07-27 18:03 | 北京大雨了 ( 路人 | Rank:20 漏洞数:2 | DROP DATABASE wooyun;)

    某人的阴险程度出乎我的意料

  6. 2012-07-27 18:06 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    o(︶︿︶)o 唉,地球好危险!

  7. 2012-07-27 18:17 | Anony ( 实习白帽子 | Rank:38 漏洞数:5 | 乌云白帽子一枚)

    支持路人甲是剑心的回复oo,不支持的回复xx。

  8. 2012-07-27 18:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Anony 真心不是我... 天地良心

  9. 2012-07-27 19:56 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    这个名字有意思

  10. 2012-07-27 20:18 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    亮点在这一句 也不知道要不要紧?

  11. 2012-07-27 23:05 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    这个能跨省吗

  12. 2012-07-28 11:02 | 黄小昏 ( 实习白帽子 | Rank:55 漏洞数:7 | alert(妹子))

    名字好给力

  13. 2012-08-13 16:33 | 盛大在线(乌云厂商)

    请 有礼物送上 同学尽快联系我们,qq 2628232765 ,有小礼品回馈。

  14. 2012-08-18 17:18 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    @有礼物送上 不知道盛大送的是什么礼物

  15. 2012-08-20 03:05 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    我承认被作者名字蒙了

  16. 2012-08-27 00:30 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    尼玛,这名字。。。。。。。。。。。。。。。

  17. 2012-08-27 09:50 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    送礼物是假的,抓你才是真的

  18. 2012-08-27 10:03 | 有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)

    @鬼哥 @Vty 又不是所有厂商都是坏蛋!二代Bambook电子阅读器,不过没什么实际用途!

  19. 2012-08-27 10:27 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    @有礼物送上 宁愿不要,会暴露的,你懂得,人要是操蛋起来,特别邪恶

  20. 2012-08-27 10:39 | 有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)

    @Vty 恩!也有这样的厂商,我暴露无所谓!都不认识我!

  21. 2012-08-27 10:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @有礼物送上 如果有这样的,请联系我吧

  22. 2012-08-27 10:54 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    二代bambook还行啊,市价500的样子

  23. 2012-08-27 12:46 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    @xsser 你去跟他们厮杀么,xsser,有后台额

  24. 2012-08-27 15:15 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 厂商要了联系方式不送礼物,不会报警吧-_-'

  25. 2012-08-27 15:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @se55i0n 不会的 要报警也不需要你的联系方式

  26. 2012-09-11 16:25 | wokao ( 路人 | Rank:8 漏洞数:1 | 郁闷)

    这个洞洞好NB