百合网某被忽略的漏洞导致海量用户数据泄露

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133547

漏洞标题：百合网某被忽略的漏洞导致海量用户数据泄露

漏洞作者：专业种田

提交时间：2015-08-12 10:51

修复时间：2015-09-26 14:38

公开时间：2015-09-26 14:38

漏洞类型：用户资料大量泄漏

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-12：细节已通知厂商并且等待厂商处理中
2015-08-12：厂商已经确认，细节仅向厂商公开
2015-08-22：细节向核心白帽子及相关领域专家公开
2015-09-01：细节向普通白帽子公开
2015-09-11：细节向实习白帽子公开
2015-09-26：细节向公众公开

简要描述：

我是来捡漏洞的，反正我没拖，别查我水表。

详细说明：

 WooYun: 百合网某站任意文件上传导致GETSHELL

这个漏洞忽略了，我进去翻了翻，竟然发现主站的数据库密码了，于是连接之，一看吓一跳，海量会员资料。咋就忽略了呢，这是为什么呢？不爱会员了？

漏洞证明：

是最新的，那就不是测试数据库，要是测试数据库这么大，那正式的会是7个亿吗

修复方案：

别忽略漏洞

版权声明：转载请注明来源专业种田@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-08-12 14:37

厂商回复：

非常感谢提供漏洞，谢谢

漏洞评价：

2015-08-12 11:00 | 土夫子 ( 普通白帽子 | Rank:173 漏洞数:41 | 逆流而上，顺势而为)

广告位出租
2015-08-12 12:11 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

7000w，应该是全站用户了吧
2015-08-12 13:02 | 大师兄 ( 路人 | Rank:6 漏洞数:3 | 每日必关注乌云)

啪啪，扇了两个圈
2015-08-12 13:42 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ：867597730，百度贴吧ID：昌维001)

这脸打的漂亮
2015-08-12 13:44 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

坐等忽略。。
2015-08-12 13:50 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ：867597730，百度贴吧ID：昌维001)

@prolog 之前某人提交的一个任意文件上传可getshell的洞都忽略了
2015-08-12 13:51 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远，还需要厂商和白帽...)

还好我没注册过百合网。。。
2015-08-12 16:29 | 百合网(乌云厂商)

请联系我，谢谢
2015-08-12 19:27 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

有裤子的漏洞就确认了。。。
2015-08-12 22:03 | 土夫子 ( 普通白帽子 | Rank:173 漏洞数:41 | 逆流而上，顺势而为)

@百合网不明白对于贵司多大的漏洞才给20rank？
2015-08-13 08:14 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

@土夫子能你给你一个确认就不错了，你也不想想他们是什么样的公司。就是找不到男女朋友的才来的注册xxoo的
2015-08-13 09:51 | 土夫子 ( 普通白帽子 | Rank:173 漏洞数:41 | 逆流而上，顺势而为)

@小杨哈哈哈，犀利
2015-08-13 14:39 | 百合网(乌云厂商)

要发礼物联系不上人，“路人甲”请尽快联系我。
2015-08-13 14:41 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

百合网代金券
2015-08-13 14:45 | 百合网(乌云厂商)

@小杨看来不是你，想的礼物都这么low
2015-08-13 14:48 | 黑妹 ( 路人 | Rank:10 漏洞数:3 | 嘤嘤嘤～我只是来看看的。。。)

@百合网短消你了
2015-08-13 15:58 | 专业种田 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

原来匿名并没有什么用，眼尖就识别人了，哈哈。
2015-09-11 22:48 | jye33 ( 路人 | Rank:8 漏洞数:3 | 没有什么能够阻挡，我对静静的向往)

@百合网送优质女会员资料10个哇

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133547

漏洞标题：百合网某被忽略的漏洞导致海量用户数据泄露

相关厂商：百合网

漏洞作者：专业种田

提交时间：2015-08-12 10:51

修复时间：2015-09-26 14:38

公开时间：2015-09-26 14:38

漏洞类型：用户资料大量泄漏

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源专业种田@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133547

漏洞标题：百合网某被忽略的漏洞导致海量用户数据泄露

相关厂商：百合网

漏洞作者： 专业种田

提交时间：2015-08-12 10:51

修复时间：2015-09-26 14:38

公开时间：2015-09-26 14:38

漏洞类型：用户资料大量泄漏

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0133547"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 专业种田@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：专业种田

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源专业种田@乌云