当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128338

漏洞标题:连连支付整站备份文件可下载(敏感信息泄漏)

相关厂商:lianlianpay.com

漏洞作者: 艾薇儿

提交时间:2015-07-29 16:25

修复时间:2015-07-29 16:44

公开时间:2015-07-29 16:44

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-29: 厂商已经确认,细节仅向厂商公开
2015-07-29: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

连连银通电子支付有限公司是浙江省级高新企业,成立于2003年,注册资金1.05亿元。公司致力于通过互联网和移动手机等渠道为广大用户和商户提供 第三方支付和结算服务

详细说明:

备份文件可下载,可能导致敏感信息泄漏。

http://www.lianlianpay.com/www.tar.gz


A550E90A-3B6B-40A6-9E55-BBEBCE3AA901.png



QQ20150722-1@2x.png

漏洞证明:

QQ20150722-2@2x.png


然并卵

修复方案:

版权声明:转载请注明来源 艾薇儿@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-07-29 16:42

厂商回复:

该文件内容为连连支付主站部分静态页面的文件压缩包,可直接对外公开,无任何敏感信息。

最新状态:

2015-07-29:已对主站进行更新

2015-08-20:完成


漏洞评价:

评论

  1. 2015-07-22 21:42 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @疯狗 这个厂商好像和jd有合作。还白条都是走的这货渠道···

  2. 2015-07-29 16:49 | 连连银通电子支付有限公司(乌云厂商)

    非常感谢@艾薇儿

  3. 2015-07-30 12:17 | Budi ( 实习白帽子 | Rank:61 漏洞数:9 | 希望能成为一个合格的白帽子,不断完善自己...)

    呵呵,只给rank1,太低了

  4. 2015-07-30 20:25 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    @Budi 如果都是静态页面的话的确危害不大啊