当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084579

漏洞标题:风行网内部系统未授权访问(泄露大量敏感信息)

相关厂商:北京风行在线技术有限公司

漏洞作者: 几何黑店

提交时间:2014-11-24 22:41

修复时间:2014-11-29 22:42

公开时间:2014-11-29 22:42

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-24: 细节已通知厂商并且等待厂商处理中
2014-11-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在360某个系统看到一个内部地址,于是用了一下搜索引擎大法,搜出来大量地址,经过筛选以后,开始扫C段,结果却扫出个风行,真是天意!

详细说明:

扫C段,扫出个

mask 区域 
*****.167*****


redis缓存数据库,未授权访问,打开一看,竟然是空的,正叹息来着,顺手放到浏览器打开看看,看到个这玩意儿.

QQ图片20141124220044.jpg

于是在页面上翻了翻,恩?监控?看到这几个字,我就跟打了鸡血一样,瞬间血压飙到180,再看到http://220.181.167.34/_logcrawler/

QQ图片20141124214923.png

我知道今夜将无人入睡.

QQ图片20141124221731.jpg


QQ图片20141124221743.jpg


QQ图片20141124221739.png


QQ图片20141124221750.png


QQ图片20141124221755.png


继续翻,翻到年会的节目照片,哇,好多妹子啊,不愧是大公司.

QQ图片20141124214321.jpg

可惜,为了保护隐私,就不放出来了,可惜啊,可惜.我本是一个有福大家享的人,唉!

QQ图片20141124220358.png


QQ图片20141124220412.png


QQ图片20141124220424.png


QQ图片20141124220434.jpg


移动应用系统后台地址也泄露
http://114.66.198.56:8001/auth/login/?next=/

漏洞证明:

不光是员工的隐私泄露,还有系统的

QQ图片20141124214956.png


QQ图片20141124215049.png


QQ图片20141124215124.png


上报系统的,可修改

QQ图片20141124215739.png


QQ图片20141124215652.png


日志可下载

QQ图片20141124214034.jpg

QQ图片20141124214634.jpg

修复方案:

你懂的.

版权声明:转载请注明来源 几何黑店@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-11-29 22:42

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-24 22:44 | 东方不败 ( 普通白帽子 | Rank:440 漏洞数:66 | 日出东方,唯我不败。)

    祈祷了,我们补要悲剧,我们要幸福。

  2. 2014-11-24 23:13 | 窝窝哥 ( 实习白帽子 | Rank:86 漏洞数:29 | 没WB啊啊啊啊!)

    我就跟你混了

  3. 2014-11-24 23:13 | 龍 、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好 我就是晴天)

    祈祷了,我们补要悲剧,我们要幸福。

  4. 2014-11-24 23:17 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    祈祷了,我们补要悲剧,我们要幸福。