当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129015

漏洞标题:真旅网集团漏洞一枚(涉及内部敏感信息)

相关厂商:真旅网集团

漏洞作者: 爱上平顶山

提交时间:2015-07-24 17:38

修复时间:2015-09-07 18:18

公开时间:2015-09-07 18:18

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-24: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-09-07: 细节向公众公开

简要描述:

反应真快 怎么做到的?

详细说明:

真旅网集团
mail.travelzen.com

mask 区域 
*****12345	302	f*****
*****5	302	fals*****
*****45	302	fals*****
*****45	302	fals*****
*****345	302	fal*****
*****345	302	fal*****
*****5	302	false*****
*****2345	302	fa*****
*****345	302	fal*****


0.jpg


1.jpg


2.jpg


ok
难道是监控机制? 也太快了吧 本来想渗透的。。。

漏洞证明:

Hi,海江
机器已经配置好,IP:192.168.161.204 系统:centos 6.6 账号/密码:root/Abc12345

修复方案:

···

版权声明:转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-07-24 18:18

厂商回复:

请尽快对敏感内容做处理。另外,老兄你不厚道啊,扫描应该在夜里,或者频率小一些,你以山洪爆发之势扫我们邮箱,我们能不发现和快速响应么。。。快赶上DDOS攻击了。。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-24 17:38 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @管管侠

  2. 2015-07-24 17:50 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:55 | 收wb 1:5 无限量收 [平台担保]))

    ……我也在盯着真旅。

  3. 2015-07-24 17:55 | Hyjal ( 实习白帽子 | Rank:36 漏洞数:7 | 挖掘机)

    ……我也在盯着真旅。

  4. 2015-07-24 18:11 | 真旅网集团(乌云厂商)

    @爱上平顶山麻烦这位兄弟把敏感信息打个码。谢谢

  5. 2015-07-24 18:23 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    已打码,话说这内容管管都提过,没处理干净的样子

  6. 2015-07-24 18:34 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:102 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    笑死我了

  7. 2015-07-24 18:51 | Wulala ( 普通白帽子 | Rank:223 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    顶山 一泻千里!!!

  8. 2015-07-24 18:55 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @真旅网集团 就是burp啊 呵呵

  9. 2015-07-24 19:48 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:125 | <a href=javascrip:alert('xss')>s</a> 点...)

    快赶上DDOS攻击了。。其实就是DD攻击!!

  10. 2015-07-25 09:54 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    快赶上DDOS攻击了。。

  11. 2015-07-25 10:22 | Hello-mary ( 路人 | 还没有发布任何漏洞 | 一个致力于....)

    快赶上DDOS攻击了。。敏感数据流有监控哈。。

  12. 2015-07-25 10:31 | 张三 ( 路人 | Rank:2 漏洞数:3 | 张三)

    那家的邮箱能爆破! 这么low吗?

  13. 2015-07-25 21:12 | 真旅网集团(乌云厂商)

    @张三 我们是限制最多20次尝试,超过就会锁定。上个月我们将弱密码用户采用我们密码加密工具自动强制重置为复杂密码,并要求相关人员重设,可惜部分人员又设置回了弱密码。。我们已经编写了定时检测工具,即日起展开定时扫描检测,发现一个枪毙一个!

  14. 2015-07-25 21:12 | 真旅网集团(乌云厂商)

    我们是限制最多20次尝试,超过就会锁定。 上个月我们将弱密码用户采用我们密码加密工具自动强制重置为复杂密码,并要求相关人员重设,可惜部分人员又设置回了弱密码。。 我们已经编写了定时检测工具,即日起展开定时扫描检测,发现一个枪毙一个!

  15. 2015-07-25 22:48 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:125 | <a href=javascrip:alert('xss')>s</a> 点...)

    我们是限制最多20次尝试,超过就会锁定。 上个月我们将弱密码用户采用我们密码加密工具自动强制重置为复杂密码,并要求相关人员重设,可惜部分人员又设置回了弱密码。。 我们已经编写了定时检测工具,即日起展开定时扫描检测,发现一个枪毙一个!

  16. 2015-07-26 12:36 | W3C3 ( 路人 | Rank:0 漏洞数:1 | wooyun.org)

    平煤宽带是个坑,求插。

  17. 2015-07-26 12:37 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @真旅网集团 吊

  18. 2015-09-07 18:22 | 老实先生 ( 路人 | Rank:7 漏洞数:4 | 早日告别路人状态)

    厂家回复够搞笑的

  19. 2015-09-08 08:50 | 幻老头儿 ( 普通白帽子 | Rank:133 漏洞数:13 | 新手上路。)

    枪毙员工?那么问题来了,朋友,有需要枪支弹药么?=。=@真旅网集团

  20. 2015-09-08 10:22 | 西西 ( 路人 | Rank:14 漏洞数:7 | 走过路过不会错过!)

    @爱上平顶山 应该选择一个月黑风高的夜晚 线程1

  21. 2015-09-08 10:27 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @西西 好主意 下次就这样干

  22. 2015-09-09 09:55 | 野驴~ ( 路人 | Rank:5 漏洞数:2 | 充满强烈好奇心的菜鸟。)

    我成功的被厂商逗笑了,666