当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077383

漏洞标题:房多多域名劫持/内网安全隐患/所有员工个人信息泄露隐患

相关厂商:fangdd.com

漏洞作者: 爱上平顶山

提交时间:2014-09-26 11:39

修复时间:2014-11-10 11:44

公开时间:2014-11-10 11:44

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-26: 细节已通知厂商并且等待厂商处理中
2014-09-28: 厂商已经确认,细节仅向厂商公开
2014-10-08: 细节向核心白帽子及相关领域专家公开
2014-10-18: 细节向普通白帽子公开
2014-10-28: 细节向实习白帽子公开
2014-11-10: 细节向公众公开

简要描述:

咳咳~

详细说明:

房多多
29 $mail->Host = "ssl://smtp.exmail.qq.com"; // 服务器地址
30 $mail->Username = "service@fangdd.com"; // 服务器用户名
31 $mail->Password = "fdd123456"; //服务器密码

0.jpg


1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


点到即止。所有高层的联系方式等等
什么客户啊,通讯录啊 域名劫持啊都是浮云~

漏洞证明:

如上

修复方案:

最好的方法:来乌云众测吧~

版权声明:转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-09-28 10:31

厂商回复:

感谢 爱上平顶山 的支持。

最新状态:

2015-03-19:再次感谢爱上平顶山的友情提醒,目前我司已建立比较良好的漏洞响应处理机制。稍后将送上小礼品,已表爱上平顶山对我司安全建设的贡献!

漏洞评价:

评论

  1. 2014-09-26 10:23 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    O(∩_∩)O哈!

  2. 2014-09-26 10:38 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    友情支持下。你搞点实在的,不然都给你走小厂商了

  3. 2014-09-26 13:48 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    平顶山.

  4. 2014-09-26 13:48 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @老和尚 ..