当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022906

漏洞标题:华为官网WEB-INF目录配置文件导致信息泄露

相关厂商:华为技术有限公司

漏洞作者: Asuimu

提交时间:2013-05-02 10:49

修复时间:2013-06-16 10:50

公开时间:2013-06-16 10:50

漏洞类型:应用配置错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-02: 细节已通知厂商并且等待厂商处理中
2013-05-03: 厂商已经确认,细节仅向厂商公开
2013-05-13: 细节向核心白帽子及相关领域专家公开
2013-05-23: 细节向普通白帽子公开
2013-06-02: 细节向实习白帽子公开
2013-06-16: 细节向公众公开

简要描述:

WEB-INF目录权限未做控制,导致网站配置信息泄露。另外网站还存在源码泄露问题。

详细说明:

WEB-INF目录位置http://enterprise.huawei.com/topic/hcc/WEB-INF/
从默认web.xml文件入手寻找数据库配置文件
http://enterprise.huawei.com/topic/hcc/WEB-INF/web.xml

1.png


在classes/applicationContext.xml文件中找到了数据库配置文件db-config.xml

2.png


mysql数据库,限源了不能直接访问

4.png


其他配置文件

3.png


一些sql信息
http://enterprise.huawei.com/topic/hcc/WEB-INF/classes/userinfo.xml
另外还从web.xml中找到了fckeditor目录,但利用失败

6.png


源码泄露
http://enterprise.huawei.com/topic/hcc/login.jsp

7.png

漏洞证明:

修复方案:

web-inf目录权限控制

版权声明:转载请注明来源 Asuimu@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-05-03 16:34

厂商回复:

非常感谢Asuimu对我们的检测,该信息为一些静态文件,不会被处理,由于业务原因,放置到该目录下,已通知业务处理以免引起误会。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-02 16:38 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    目测又是web.xml泄露架构信息

  2. 2013-05-04 11:26 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    华为好像有点理解错了

  3. 2013-05-04 11:44 | Asuimu ( 普通白帽子 | Rank:295 漏洞数:46 )

    @xsser 他们不认为那是错,但他们会改正,好纠结的答复。

  4. 2013-05-04 11:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    @Asuimu - - ||

  5. 2013-05-09 11:22 | 华为技术有限公司(乌云厂商)

    @Asuimu 网站实际上没有使用这些配置文件,是错误放置到该目录下,为免引起误会因此业务部门会处理掉。