当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024533

漏洞标题:国内某知名网购商存在源码打包下载问题

相关厂商:imaidan.com

漏洞作者: 李白

提交时间:2013-06-28 13:58

修复时间:2013-08-12 13:58

公开时间:2013-08-12 13:58

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-28: 细节已通知厂商并且等待厂商处理中
2013-06-28: 厂商已经确认,细节仅向厂商公开
2013-07-08: 细节向核心白帽子及相关领域专家公开
2013-07-18: 细节向普通白帽子公开
2013-07-28: 细节向实习白帽子公开
2013-08-12: 细节向公众公开

简要描述:

麦单网是山东赢宝网络科技有限公司旗下专为中国银行信用卡持卡人提供消费返利的增值网站,根据信用卡使用趋势与互联网发展轨迹及运营模式,结合企业经营需求与持卡人消费需求,以刷卡消费提供现金返利作为奖励,打造出全新的“信用卡消费增值综合服务平台”。通过为各行各业商家提供整体营销解决方案,拉动消费的主动性及重复性,从而为持卡人提供更加便利、实惠的消费服务
http://www.imaidan.com/

详细说明:

身为中国银行中国银联的战略伙伴,怎么能有如此问题呢?
http://www.imaidan.com/
http://www.imaidan.com/www.imaidan.com.rar
不解释整站下载

漏洞证明:

捕获.PNG


我们可以看到数据是5月7日的。
应该十分新鲜哈哈....
http://www.imaidan.com/install/
http://www.imaidan.com/update/
这里两处也存在爆路径的问题

修复方案:

关闭下载
把源码移到安全地点
以及发礼物给我哈哈哈哈哈哈(开玩笑)

版权声明:转载请注明来源 李白@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-06-28 14:02

厂商回复:

感谢作者提交,也感谢乌云,我们已做修复,感谢关注!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-30 16:35 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    很感谢,已经收到了你们的礼物——高压锅,很开心。真的。希望能常驻wooyun..