当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027051

漏洞标题:新网主站源码备份再次泄漏,可造成数据库密码与程序逻辑被获取!

相关厂商:新网华通信息技术有限公司

漏洞作者: Sct7p

提交时间:2013-06-27 18:50

修复时间:2013-08-11 18:50

公开时间:2013-08-11 18:50

漏洞类型:内部绝密信息泄漏

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-27: 细节已通知厂商并且等待厂商处理中
2013-06-28: 厂商已经确认,细节仅向厂商公开
2013-07-08: 细节向核心白帽子及相关领域专家公开
2013-07-18: 细节向普通白帽子公开
2013-07-28: 细节向实习白帽子公开
2013-08-11: 细节向公众公开

简要描述:

如题,新网运维人员安全意识不足,导致源码备份再次被猜到。。。

详细说明:

上次新网源码泄漏是因为一个rar文件。貌似新网的运维很蛋疼,备份源码麻烦用复杂一点的名字。 源码地址www.xinnet.com/xinnetol.war 这次把rar改成了war。

http://www.xinnet.com/xinnetol.war

漏洞证明:

2.png


3.png

修复方案:

备份使用专门的备份文件夹或者说是用更加复杂的文件名

版权声明:转载请注明来源 Sct7p@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-06-28 10:26

厂商回复:

收到

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-27 18:51 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    哎玛又来了

  2. 2013-06-27 20:59 | 地瓜 ( 路人 | Rank:12 漏洞数:7 | hacked by Finger)

    敢不敢给个下载地址 ,要不给个mysql的配置文件。。。。

  3. 2013-06-27 21:23 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @地瓜 公布了就可以看了

  4. 2013-06-28 00:24 | 地瓜 ( 路人 | Rank:12 漏洞数:7 | hacked by Finger)

    @Sct7p 哈哈 估计人家早删了

  5. 2013-06-28 09:19 | 纷纭 ( 路人 | Rank:19 漏洞数:8 | 学习者。)

    @地瓜 最坑爹的新网,各种安全问题,跟宇宙第一大洞DEDE有一拼了。

  6. 2013-06-28 09:27 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    新网,你行不行啊?不行你先把我东西退了先。服务差的要命,技术也就这样了,还一线二线三线技术,就是一帮坑爹货色

  7. 2013-06-28 11:38 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @新网华通信息技术有限公司 源码泄漏才给5个rank。太失望了。不把白帽子当回事

  8. 2013-06-28 17:53 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    我去..@新网华通信息技术有限公司尊敬的分销合作伙伴:您好! 近期新网接到.NET & .ORG域名上游注册局的通知,将于七月份对.NET & .ORG域名注册及续费成本进行上调,遂新网决定将于2013年7月1日12:00对.NET & .ORG域名的注册及续费做如下调整。 他们是不是缺钱花了?

  9. 2013-07-18 13:37 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    LZ是怎么发现的!

  10. 2013-07-18 14:22 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @iiiiiiiii 这个很简单。一个ls就出来了

  11. 2013-07-28 13:22 | 再见江南 ( 路人 | Rank:4 漏洞数:2 | 维护世界和平)

    新网确实太坑爹了,我一个域名都被改了密码

  12. 2013-07-28 13:34 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @再见江南 今天?

  13. 2013-07-28 13:37 | 再见江南 ( 路人 | Rank:4 漏洞数:2 | 维护世界和平)

    @Sct7p 昨天提交的漏洞今天弄了个注册码来玩玩

  14. 2013-07-28 13:39 | 再见江南 ( 路人 | Rank:4 漏洞数:2 | 维护世界和平)

    @Sct7p 早几个月新网被脱裤了

  15. 2013-07-28 13:40 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @再见江南 ..新网的密码是md5(unix)无解脱裤也没用。只是他的域名密码是明文

  16. 2013-08-02 01:12 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:8 | 极光肖风)

    @地瓜 @Sct7p哥,shutdown,,到现在还没有删除怎么办??

  17. 2013-08-02 01:53 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @whirlwind 钓鱼否?

  18. 2013-08-02 10:36 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:8 | 极光肖风)

    @Sct7p 如何搞?好像就地瓜是搞java的

  19. 2013-08-11 22:21 | Striker ( 路人 | Rank:18 漏洞数:12 | WOOYUN号换了,请移步ID:王松_Striker)

    现在还可以下载。。。。

  20. 2015-01-03 21:32 | 南宁网警Mx ( 路人 | Rank:8 漏洞数:5 | 我是独行侠。有心交友qq1552673833)

    新网的域名,我也是醉了!