当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065054

漏洞标题:万达电影主站数据库信息泄露

相关厂商:大连万达集团股份有限公司

漏洞作者: 爱上平顶山

提交时间:2014-06-17 12:03

修复时间:2014-08-01 12:04

公开时间:2014-08-01 12:04

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-17: 细节已通知厂商并且等待厂商处理中
2014-06-17: 厂商已经确认,细节仅向厂商公开
2014-06-27: 细节向核心白帽子及相关领域专家公开
2014-07-07: 细节向普通白帽子公开
2014-07-17: 细节向实习白帽子公开
2014-08-01: 细节向公众公开

简要描述:

0.0

详细说明:

万达电影主站数据库信息泄露
上个漏洞的深入:
http://www.wandafilm.com/WEB-INF/classes/jdbc.properties
##############################################################################
datasource.driverClassName=oracle.jdbc.driver.OracleDriver
datasource.url=jdbc:oracle:thin:@192.***.***.68:1521:ora10g
datasource.username=WD_W****
datasource.password=WD_W****
c3p0.acquireIncrement=5
c3p0.initialPoolSize=2
c3p0.minPoolSize=2
c3p0.maxPoolSize=10
c3p0.maxIdleTime=600
c3p0.idleConnectionTestPeriod=3000
c3p0.maxStatements=6000
c3p0.numHelperThreads=10
##############################################################################
datasource2.driverClassName=oracle.jdbc.driver.OracleDriver
datasource2.url=jdbc:oracle:thin:@192.*.*.68:1521:ora10g
datasource2.username=WAN****
datasource2.password=WAN****
##############################################################################
proxool.driver=oracle.jdbc.driver.OracleDriver
#proxool.driverUrl=jdbc:oracle:thin:wd_we***/wd_w***@10.*.*.167:1521:ora10g
proxool.driverUrl=jdbc:oracle:thin:@(DESCRIPTION =(LOAD_BALANCE=yes)(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.*.6.20)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=wdyx)))
proxool.user=wa****lm
proxool.password=XpgN****ZyFzjF
proxool.alias=wa****lm
proxool.minimumConnectionCount=10
proxool.simultaneous-build-throttle=16
proxool.maximumConnectionCount=80
proxool.prototypeCount=0
proxool.houseKeepingTestSql=select sysdate from dual
proxool.testBeforeUse=false
proxool.trace=true
数据库什么的
http://www.wandafilm.com/WEB-INF/classes/applicationContext.xml
行了 就这样吧 求票。。。

漏洞证明:

如上

修复方案:

设置访问权限

版权声明:转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-06-17 14:41

厂商回复:

感谢“爱上平顶山”同学的关注与贡献!此漏洞确认存在,已敦促业务马上整改。低级错误导致重大漏洞,教训啊!请私信联系选礼物。谢谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-17 12:30 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)

    0.0

  2. 2014-06-17 12:56 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    0.1

  3. 2014-06-17 13:29 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    0.2

  4. 2014-06-17 13:54 | nick被注册 ( 普通白帽子 | Rank:125 漏洞数:20 | 天一)

    0.3

  5. 2014-06-17 13:57 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

    0.4

  6. 2014-06-17 14:01 | 蝶离飞 ( 路人 | Rank:28 漏洞数:11 | 苦B骚年)

    0.5

  7. 2014-06-17 14:04 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @蝶离飞 @Honker红颜 @nick被注册 @疯子 @寂寞的瘦子 @光刃 0.6

  8. 2014-06-17 14:38 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    0.7

  9. 2014-06-17 14:56 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    内网数据库怕什么

  10. 2014-06-17 14:58 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @xsser (*^__^*) 嘻嘻…… 万一有shell呢

  11. 2014-06-17 15:57 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

    请选礼物~

  12. 2014-06-17 16:06 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    xml文件?

  13. 2014-06-17 20:55 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    0.0

  14. 2014-06-23 12:39 | Debug0man ( 路人 | Rank:8 漏洞数:1 | 叽叽呗呗...)

    1.0

  15. 2014-06-23 19:17 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    选个妹子好了。

  16. 2014-08-01 13:59 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    还能选礼物。。。

  17. 2014-08-01 14:25 | 你不认识我 ( 路人 | Rank:4 漏洞数:5 | 求大牛粗大修长的大腿)

    碉堡~