当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042524

漏洞标题:集益集装箱班列信息服务系统目录读取致大量物流信息泄露

相关厂商:大连口岸物流科技有限公司

漏洞作者: 一只猿

提交时间:2013-11-10 17:34

修复时间:2014-02-08 17:35

公开时间:2014-02-08 17:35

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-02-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

目录读取致敏感信息泄露

详细说明:

大连口岸物流科技有限公司(www.plt.net.cn)集益集装箱班列信息服务系统存在目录读取漏洞,泄露大量物流信息,包括客户订单,物流动向,资金流动等敏感信息。excel文件可随意下载。

漏洞证明:

漏洞地址:http://www.plt.net.cn:8080/

QQ截图20131110165932.png

QQ截图20131110170213.png

QQ截图20131110170203.png

QQ截图20131110170145.png

QQ截图20131110170055.png

直接访问index.html貌似是没有权限

QQ截图20131110170324.png


测试所下载的excel文件均自行删除。访问了下厂商官方网站,发现厂商旗下类似产品也是非常的多。希望厂商能够及时对自己的产品进行安全排查。安全问题要重视。我想上面提到的那些物流信息随便泄露也是非常可怕的。

修复方案:

运行环境要搭好,重要敏感文件建议加密。

版权声明:转载请注明来源 一只猿@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2013-11-10 17:50 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    目测忽略的节奏

  2. 2013-11-11 12:13 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    已经默默修复了是几个意思? @疯狗 @xsser @wefgod

  3. 2013-11-12 11:45 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    没有认领就修复了啊,看来你标题泄漏了太多信息?双11他们也寂寞……

  4. 2013-12-16 23:13 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    话说早点公开吧