漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯通RTX某json接口敏感数据对外,导致企业存在渗透风险!
相关厂商:腾讯
提交时间:2012-10-12 16:07
修复时间:2012-10-12 16:39
公开时间:2012-10-12 16:39
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-10-12: 细节已通知厂商并且等待厂商处理中
2012-10-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
纠正这里面我的一个判断:http://www.wooyun.org/bugs/wooyun-2010-013265
详细说明:
漏洞证明:
修复方案:
最少要对这个userlist.php功能做权限控制!
RTX企业用户要血雨腥风了?
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-10-12 16:39
厂商回复:
RTX主要布署在内网,外网无法对此josn数据进行劫持。
最新状态:
暂无
漏洞评价:
评论
这些评论似乎很乌云~~~思密达
-
2012-10-12 16:40 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
http://58.30.20.130:8012/userlist.phphttp://218.90.212.84:8012/userlist.phphttp://rtx.caams.org.cn:8012/userlist.phphttp://pdms.powerdekor.com.cn:8012/userlist.phphttp://rtx.jlict.edu.cn:8012/userlist.phphttp://60.190.253.231:8012/userlist.phphttp://www.mdjzjzx.com:8012/userlist.phphttp://rtx10.ougz.com.cn:8012/userlist.phphttp://rtx.hebstd.gov.cn:8012/userlist.phphttp://rtx2012.rcjy.com.cn:8012/userlist.phphttp://sucai.nxyc2z.com:8012/userlist.phphttp://rtx.dycoal.cn:8012/userlist.phphttp://www.tunhe.org:8012/userlist.phphttp://202.113.48.145:8012/userlist.phphttp://58.128.148.11:8012/userlist.phphttp://202.91.242.238:8012/userlist.phphttp://rtx.qhmz.gov.cn:8012/userlist.phphttp://pdms.powerdekor.com.cn:8012/userlist.php金山:http://bjrtx.kingsoft.com:8012/userlist.php
-
2012-10-12 17:30 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
首先,不管这个产品部署在内网还是外网,这个userlist.php是不是在没做任何权限下就应该不能被访问到?(这个json里包含的所有用户的用户名等信息的!) 连自己公司的用户特点都没弄清楚就下结论:主要部署在内网!
-
2012-10-12 22:56 |
shine 
( 普通白帽子 | Rank:831 漏洞数:77 | coder)
终于找到原因了,是一行代码被默认注释掉了! ip限制功能和你的回复有矛盾吗?
-
2012-10-12 16:40 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
-
2012-10-12 16:40 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
http://58.30.20.130:8012/userlist.phphttp://218.90.212.84:8012/userlist.phphttp://rtx.caams.org.cn:8012/userlist.phphttp://pdms.powerdekor.com.cn:8012/userlist.phphttp://rtx.jlict.edu.cn:8012/userlist.phphttp://60.190.253.231:8012/userlist.phphttp://www.mdjzjzx.com:8012/userlist.phphttp://rtx10.ougz.com.cn:8012/userlist.phphttp://rtx.hebstd.gov.cn:8012/userlist.phphttp://rtx2012.rcjy.com.cn:8012/userlist.phphttp://sucai.nxyc2z.com:8012/userlist.phphttp://rtx.dycoal.cn:8012/userlist.phphttp://www.tunhe.org:8012/userlist.phphttp://202.113.48.145:8012/userlist.phphttp://58.128.148.11:8012/userlist.phphttp://202.91.242.238:8012/userlist.phphttp://rtx.qhmz.gov.cn:8012/userlist.phphttp://pdms.powerdekor.com.cn:8012/userlist.php金山:http://bjrtx.kingsoft.com:8012/userlist.php
-
2012-10-12 16:40 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
-
2012-10-12 16:44 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
@腾讯<img src="http://www.wooyun.org/upload/201210/121643013c094f90f39597155c2bb8cbb8d843b2.png" />少给分就算了,忽略就不对了!
-
2012-10-12 16:53 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
@xsser 麻烦管理员把上面信息删了吧!刚有点恼火了!
-
2012-10-12 17:30 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
首先,不管这个产品部署在内网还是外网,这个userlist.php是不是在没做任何权限下就应该不能被访问到?(这个json里包含的所有用户的用户名等信息的!) 连自己公司的用户特点都没弄清楚就下结论:主要部署在内网!
-
2012-10-12 17:42 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@有礼物送上 帮你把这些信息整理下交给别人处理吧 :)
-
2012-10-12 17:47 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-10-12 20:01 |
有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)
@xsser 多谢!没发现有这么多大企业、集团、政府部门、科技公司等单位的内部要被入侵了,麻烦交给CNCERT处理一下吧(企业内部信息无隐私啊!)!有些公司自己应该检讨一下!说到底,就是瞧不起别人,自作自受吧!
-
2012-10-12 22:56 |
shine ( 普通白帽子 | Rank:831 漏洞数:77 | coder)
终于找到原因了,是一行代码被默认注释掉了! ip限制功能和你的回复有矛盾吗?
-
2012-10-12 22:58 |
shine ( 普通白帽子 | Rank:831 漏洞数:77 | coder)
-
2013-01-31 14:33 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
-
2014-07-14 15:59 |
luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)
