当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028055

漏洞标题:百度某分站源代码打包侧漏

相关厂商:百度

漏洞作者: ioio

提交时间:2013-07-07 09:12

修复时间:2013-08-21 09:13

公开时间:2013-08-21 09:13

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-07: 细节已通知厂商并且等待厂商处理中
2013-07-08: 厂商已经确认,细节仅向厂商公开
2013-07-18: 细节向核心白帽子及相关领域专家公开
2013-07-28: 细节向普通白帽子公开
2013-08-07: 细节向实习白帽子公开
2013-08-21: 细节向公众公开

简要描述:

百度某分站源代码包子侧漏,文件中包含数据库链接信息,是否可链接未测试!
目测源码中可挖掘一定的关键信息,同时可学习下人家程序的编码。

详细说明:

百度小游戏网站代码泄漏

漏洞证明:

1、打包文件

_010.png


2、浏览代码

_011.png


3、数据库链接- 每个库帐号密码都一样?

选区_012.png


4、网站的路径?

_013.png


修复方案:

删~

版权声明:转载请注明来源 ioio@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-07-08 10:45

厂商回复:

感谢反馈,我们尽快联系

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-07 09:23 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    小分站可能是给毕业生练手吧..洞主先迅雷离线一下..方便公开后下载..

  2. 2013-07-07 12:09 | YouTube ( 路人 | Rank:3 漏洞数:1 | YouTube是世界上最大的视频分享网站,早期...)

    请联系我!

  3. 2013-07-07 12:35 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    QAQ 8c~

  4. 2013-07-07 14:08 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    这个可以有,更邪恶点。

  5. 2013-07-07 14:11 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    代码泄漏的后面一般都可以弄个shell的

  6. 2013-07-07 14:14 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @xsser 领导,审核下:http://www.wooyun.org/bugs/wooyun-2013-027997/trace/6b734049ff3e81284e69c13bb1b0302c

  7. 2013-07-07 14:16 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @momo 昨天的洞洞..你看我上个月的http://wooyun.org/bugs/wooyun-2013-027256/trace/c3e0b15a599c38dc62aa345bc0ec1e7a

  8. 2013-07-07 14:17 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @基佬库克 都悲剧啊,不审核。你看我发的新浪改任意用户密码的洞,才6rank。更悲剧

  9. 2013-07-07 14:18 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @momo 下次先脱裤,给低了直接发出来..

  10. 2013-07-07 14:19 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @基佬库克 但是怕新浪闹JD那样,给我搞进局子啊。

  11. 2013-07-07 14:22 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @momo 京东还有这嗜好啊..下次搞到后偷偷利用好了

  12. 2013-07-07 16:00 | ioio ( 路人 | Rank:8 漏洞数:1 | 木婉清)

    @基佬库克 @xsser 备份人家数据后公开下载,会不会查水表

  13. 2013-07-07 16:21 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @ioio 看是啥裤子..做事隐秘点好..

  14. 2013-07-07 17:17 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    @ioio 这个查啥水表呀,骚年,公开吧!!!

  15. 2013-07-07 18:28 | ioio ( 路人 | Rank:8 漏洞数:1 | 木婉清)

    @基佬库克 @z@cx 我所说的备份数据进行分享,就是管理员自己打包的备份数据,不是拖下来的数据。涉及到几个问题: 1、下载了人家的网站(但未入侵,数据由管理员自己备份)2、下载后进行备份网站数据3、提供下载此网站备份数据

  16. 2013-07-07 19:41 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @ioio 都一样的,他们才不管那你怎么来的数据..

  17. 2013-07-28 12:21 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @xsser 小顿,源码泄漏不是谁都会代码审计的.