当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035530

漏洞标题:欧朋网数据库可被直接下载导致大量用户信息泄露

相关厂商:欧朋浏览器

漏洞作者: 霍大然

提交时间:2013-08-28 18:30

修复时间:2013-10-12 18:31

公开时间:2013-10-12 18:31

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-28: 细节已通知厂商并且等待厂商处理中
2013-08-28: 厂商已经确认,细节仅向厂商公开
2013-09-07: 细节向核心白帽子及相关领域专家公开
2013-09-17: 细节向普通白帽子公开
2013-09-27: 细节向实习白帽子公开
2013-10-12: 细节向公众公开

简要描述:

欧朋网数据库被直接下载,用户信息泄露,有用户名、邮箱、手机号,密码(已破解了一些),QQ号等。

详细说明:

下载地址:
http://r.oupeng.com/tmp/users.sql
下载后不想麻烦建个表了,用记事本将就着看:
表结构:
CREATE TABLE `users` (
`uid` int(10) unsigned NOT NULL AUTO_INCREMENT,
`username` char(20) NOT NULL,
`password` char(64) NOT NULL,
`email` char(125) NOT NULL,
`email_state` tinyint(1) NOT NULL DEFAULT '0',
`mobile` char(11) NOT NULL,
`sitename` char(50) NOT NULL,
`siteurl` char(200) NOT NULL,
`qq` char(16) NOT NULL,
`msn` char(255) NOT NULL,
`telephone` char(20) NOT NULL,
`identity` tinyint(1) NOT NULL,
`regtime` int(10) unsigned NOT NULL,
`regip` char(30) NOT NULL,
`verify_state` tinyint(1) NOT NULL DEFAULT '0',
`verify_user` char(20) NOT NULL,
`verify_time` int(10) unsigned NOT NULL,
`stat_type` tinyint(1) unsigned NOT NULL DEFAULT '1',
`pay_type` tinyint(4) NOT NULL DEFAULT '1',
`threshold_value` tinyint(2) unsigned NOT NULL DEFAULT '1' COMMENT '氓藛陇忙鈥撀┧溾偓氓鈧济λ溌ヂ惵γぢ柯︹€澛?:忙艙陋盲驴庐忙鈥澛姑寂?盲驴庐忙鈥澛?,
`user_type` tinyint(4) unsigned NOT NULL COMMENT '莽鈥澛λ喡访甭幻ヅ锯€姑寂?盲赂陋盲潞潞,2氓鈥βヂ徛?,
`business_id` int(11) unsigned NOT NULL COMMENT '氓鈥⑩€犆ヅ犅d',
`source` tinyint(1) NOT NULL DEFAULT '0' COMMENT '来源 0未知,1公司,2个人',
PRIMARY KEY (`uid`),
UNIQUE KEY `username` (`username`)
) ENGINE=MyISAM AUTO_INCREMENT=4752 DEFAULT CHARSET=utf8;

漏洞证明:

1.png

修复方案:

别放在这儿

版权声明:转载请注明来源 霍大然@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-08-28 19:12

厂商回复:

感谢提交,正在紧急处理中

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-28 18:34 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    尿了

  2. 2013-08-28 18:40 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    拉了

  3. 2013-08-28 18:52 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    窜了

  4. 2013-08-28 19:05 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    湿了

  5. 2013-08-28 20:29 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    查水表!