当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04183

漏洞标题:一起呀团购网未授权就可以打开网站管理后台查看所有商户信息

相关厂商:一起呀(17ya.com)

漏洞作者: WindsDeng

提交时间:2012-02-03 14:29

修复时间:2012-03-19 14:30

公开时间:2012-03-19 14:30

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:7

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-03-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

后台地址没有禁止搜索引擎收录,我用谷歌查询到此后台地址http://admin17.17ya.com/users/businessinfo

详细说明:

漏洞证明:




修复方案:

版权声明:转载请注明来源 WindsDeng@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:10 (WooYun评价)

漏洞评价:

评论

  1. 2012-02-03 20:17 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    这站没配置好,随便个不存在的文件就让所以方法给列了出来,大部份还没验证权限,django 的debug真人性化--!

  2. 2012-02-04 00:14 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    这个简要描述真详细啊,话说那个网站泄露的信息还真的不是一点点。。。<img src="/upload/201202/04001123018766c66a37d52d41856b69d63d70e6.jpg" /><img src="/upload/201202/040011509dcfadc3b056fd4a6c8462f2c82805d8.jpg" /><img src="/upload/201202/0400124004f210b571aed5d76f165100429e96a3.jpg" />

  3. 2012-02-04 08:04 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    django.db.backends.postgresql_psycopg2', 'HOST': '192.168.12.10', 'NAME': '17yaDotCom', 'OPTIONS': {}, 'PASSWORD': '********************', 'PORT': '5432' 数据库啊。。。。

  4. 2012-02-04 16:13 | WindsDeng ( 路人 | Rank:10 漏洞数:1 | WindsDeng)

    你搞他数据库做什么呀!

  5. 2012-02-04 16:26 | WindsDeng ( 路人 | Rank:10 漏洞数:1 | WindsDeng)

    django 这个框架debug。。。。。

  6. 2012-02-04 16:44 | WindsDeng ( 路人 | Rank:10 漏洞数:1 | WindsDeng)

    有办法进后台了!真可怕!

  7. 2012-03-01 12:28 | WindsDeng ( 路人 | Rank:10 漏洞数:1 | WindsDeng)

    自己修复了也不回来认领。。