当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028945

漏洞标题:浦发信用卡服务中心任意文件下载读取

相关厂商:浦发信用卡

漏洞作者: null

提交时间:2013-07-15 13:00

修复时间:2013-08-29 13:01

公开时间:2013-08-29 13:01

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-15: 细节已通知厂商并且等待厂商处理中
2013-07-19: 厂商已经确认,细节仅向厂商公开
2013-07-29: 细节向核心白帽子及相关领域专家公开
2013-08-08: 细节向普通白帽子公开
2013-08-18: 细节向实习白帽子公开
2013-08-29: 细节向公众公开

简要描述:

任意下载服务器敏感文件。

详细说明:

下载文件处变量可控,加之未对引用路径进行限制,攻击者可构造请求恶意下载服务器敏感文件。经过对下载过来的文件进行查看,发现未对服务器(HP-UX)做过基线加固,这个不太科学,随时受不了。
要努力学习好中国银监会下发关于银行业加强信息安全建设系统文件的精神,以银行业相关标准和规范为依据,以“全面、适度”为总原则,结合浦发银行实际,借鉴行业内外先进经验,对浦发银行信息安全状况进行全面差距分析,规划设计一套适用于自身的信息安全保障体系,实现“事前预防、事中监控、事后处理、必要时应急”的全周期信息安全管控机制,制定出短、中、长相结合的浦发银行信息安全整改实施计划。全面提高浦发银行信息系统的可用性、保密性和完整性,降低信息安全事件发生的可能性和信息安全事件发生的损失。

漏洞证明:

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


7.jpg

修复方案:

现在有些女孩子,整天在微信、微博上和男人打情骂俏、勾勾搭搭,聊不了几句就见面开房,是感情如儿戏,一点也不知道自重。对于这样的女孩,我只想说4个字:请联系我。

版权声明:转载请注明来源 null@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-19 23:42

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-15 16:58 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    能办私人银行美国运通卡么?