漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-027739
漏洞标题:某省邮电公司网站存在严重漏洞被国外黑客挂20+黑页(泄露最少2W+用户信息)
相关厂商:某邮电公司网站
漏洞作者: Traxex
提交时间:2013-07-04 17:26
修复时间:2013-08-18 17:26
公开时间:2013-08-18 17:26
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-04: 细节已通知厂商并且等待厂商处理中
2013-07-08: 厂商已经确认,细节仅向厂商公开
2013-07-18: 细节向核心白帽子及相关领域专家公开
2013-07-28: 细节向普通白帽子公开
2013-08-07: 细节向实习白帽子公开
2013-08-18: 细节向公众公开
简要描述:
某邮电公司网站存在严重漏洞被国外黑客挂20+黑页,可脱裤,泄露最少2W+用户信息。
注:本人绝对没有脱裤。
详细说明:
1、网站地址
http://www.ahwt.com.cn/
2、可以通过webdav写权限直接上传一句话木马
3、访问小马
网站权限控制的也不好,可以浏览全部盘符
4、可以通过phpmyadmin或者菜刀,对数据进行操作,可脱裤。
5、网站被挂了20+黑页
黑页比较多,就展示这么几个吧。
漏洞证明:
1、20+黑页
修复方案:
1、禁用一些危险的HTTP方法
2、去除一些目录的写权限
3、及时打补丁
版权声明:转载请注明来源 Traxex@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-07-08 23:10
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
这个应该揭露下国外黑阔
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)