当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05756

漏洞标题:盛大某两个网易数据库报错致敏感信息泄露等

相关厂商:盛大在线

漏洞作者: zeracker

提交时间:2012-04-02 23:16

修复时间:2012-04-07 23:17

公开时间:2012-04-07 23:17

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-04-02: 细节已通知厂商并且等待厂商处理中
2012-04-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

盛大某两个网易数据库报错致敏感信息泄露等,其中一个站貌似存在盲注。
站在攻击者的角度上考虑,细节是很重要的。
虽然有个站是你们停止运营了。还是以安全的角度考虑吧。

详细说明:

http://cy.sdo.com/200909/jisi/data.php
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'root'@'localhost' (using password: NO) in/usr/local/apache/htdocs/200909/jisi/data.php on line 5
Access denied for user 'root'@'localhost' (using password: NO)

http://mhwq.sdo.com/main/Cgi/hdzq.php

http://mhwq.sdo.com/main/Cgi/hdzq.php 这个站好像存在盲注。
Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '211.150.70.7' (4) in /usr/local/apache2/htdocs/web/new_mhwq_sdo/main/Bin/Core/wpe.php on line 30
Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /usr/local/apache2/htdocs/web/new_mhwq_sdo/main/Cgi/hdzq.php on line 60
Warning: mysql_close(): no MySQL-Link resource supplied in /usr/local/apache2/htdocs/web/new_mhwq_sdo/main/Cgi/hdzq.php on line 61
Error 001sql: SELECT * FROM wt_news where A_class2ID in(3) AND B_recommend=0 ORDER BY B_recommend DESC, B_red DESC, B_date DESC LIMIT 0,6 info: Can't connect to MySQL server on '211.150.70.7' (4)

漏洞证明:


修复方案:

你们懂的,QQ2036234
虽然有个站是你们停止运营了。还是以安全的角度考虑吧。

版权声明:转载请注明来源 zeracker@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-07 23:17

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2012-04-02 23:33 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我靠。现在才发现打错字了。麻烦帮忙编辑下标题。想死的心有了

  2. 2012-04-03 00:02 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    小伙子 你碉堡了

  3. 2012-04-05 11:05 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    盛大某两个网易数据库......盛大和网易有合作?

  4. 2012-04-05 11:14 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    不小心打错字。以后不再关注盛大集团旗下任何网站。谢谢