当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048903

漏洞标题:人人网内部协作平台对外暴漏泄露大量敏感信息

相关厂商:人人网

漏洞作者: tojen

提交时间:2014-01-14 17:56

修复时间:2014-02-28 17:57

公开时间:2014-02-28 17:57

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-14: 细节已通知厂商并且等待厂商处理中
2014-01-14: 厂商已经确认,细节仅向厂商公开
2014-01-24: 细节向核心白帽子及相关领域专家公开
2014-02-03: 细节向普通白帽子公开
2014-02-13: 细节向实习白帽子公开
2014-02-28: 细节向公众公开

简要描述:

人人网某内部协作平台对外部暴漏,平台中包含较大部分的运维开发相关信息,内部多个口令,如数据库账号密码,公司(renren-inc)邮箱账号密码,以邮箱作为契机,向内部某些弱联系人投递前锋马,或者钓鱼攻击,完全可以打入内部...

详细说明:

人人网某内部协作平台对外部暴漏,平台中包含较大部分的运维开发相关信息,内部多个口令,如数据库账号密码,公司(renren-inc)邮箱账号密码,以邮箱作为契机,向内部某些弱联系人投递前锋马,或者钓鱼攻击,完全可以打入内部...

1.jpg


2.jpg


3.jpg


4.jpg

漏洞证明:

http://123.125.[马赛克]/ #外漏平台
https://mail.renren-inc.com/owa/ #owa
oncall@renren-inc.com
123[马赛克]@
https://vpn.renren-inc.com/dana-na/auth/url_default/welcome.cgi #vpn
host:10.22.198.81 user:ipo2008 passwd:mei[马赛克]
database:chip
table:user_online_time
媒介:ftp
地址:ftp://10.3.21.33, 用户名 log[马赛克]fer, 密码 zD[马赛克]pE
host:stat2.db.d.xiaonei.com user:work@RR passwd:G[马赛克]lZ
database:dataplatform
table:behavior_result
10.2.18.44
用户名:xntech
密码:ge[马赛克]0
http://admin:admin123@10.2.29.18:8081/nexus/content/
Minisite库:mysql -hugc10.db -uwork@RR -pG[马赛克]Z minisite –A

修复方案:

不要把这么敏感的东西暴漏在外部,自己悄悄用就可以了

版权声明:转载请注明来源 tojen@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-01-14 18:00

厂商回复:

感谢!搞大了。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-02-28 18:15 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    搞大了,大了,了。。。

  2. 2014-02-28 19:15 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

    怀孕了,孕了,了。。。

  3. 2014-02-28 23:06 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)

    —— 喜当爹

  4. 2014-03-01 14:51 | 野驴~ ( 路人 | Rank:5 漏洞数:2 | 充满强烈好奇心的菜鸟。)

    打酱油了,打酱油了--