顺丰优选某站源码泄漏涉及数据库密码

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133768

漏洞标题：顺丰优选某站源码泄漏涉及数据库密码

漏洞作者： prolog

提交时间：2015-08-13 10:16

修复时间：2015-08-13 10:50

公开时间：2015-08-13 10:50

漏洞类型：重要敏感信息泄露

危害等级：低

自评Rank：5

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-13：细节已通知厂商并且等待厂商处理中
2015-08-13：厂商已经确认，细节仅向厂商公开
2015-08-13：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

顺丰优选某站源码泄漏涉及数据库密码

详细说明：

https://github.com/linzhijia/gitskills

一些sql注入。。

https://github.com/linzhijia/gitskills/blob/5ec9d74208ff77502e3d3a5fcc5643413bbacb34/ImportExcleUtil/WebRoot/WEB-INF/classes/jdbc.properties

jdbc.plcontract.driverClassName = com.mysql.jdbc.Driver
jdbc.plcontract.url = jdbc\:mysql\://dbm.t.com\:3306/pl_contract_db?zeroDateTimeBehavior\=convertToNull
jdbc.plcontract.username = sf_all_test
jdbc.plcontract.password = All@TestSf
#
jdbc.plmerchant.driverClassName = com.mysql.jdbc.Driver
jdbc.plmerchant.url = jdbc:mysql://dbm.t.com:3306/pl_merchant_db?zeroDateTimeBehavior=convertToNull
jdbc.plmerchant.username = sf_all_test
jdbc.plmerchant.password = All@TestSf
#
jdbc.pllog.driverClassName = com.mysql.jdbc.Driver
jdbc.pllog.url = jdbc:mysql://dbm.t.com:3306/pl_log_db?zeroDateTimeBehavior=convertToNull
jdbc.pllog.username = sf_all_test
jdbc.pllog.password = All@TestSf
#
jdbc.plproduct.driverClassName = com.mysql.jdbc.Driver
jdbc.plproduct.url = jdbc:mysql://dbm.t.com:3306/pl_product_db?zeroDateTimeBehavior=convertToNull
jdbc.plproduct.username = sf_all_test
jdbc.plproduct.password = All@TestSf
#
jdbc.gshop.driverClassName = com.mysql.jdbc.Driver
jdbc.gshop.url = jdbc:mysql://dbm.t.com:3306/gshop_db?zeroDateTimeBehavior=convertToNull
jdbc.gshop.username = sf_all_test
jdbc.gshop.password = All@TestSf

漏洞证明：

修复方案：

版权声明：转载请注明来源 prolog@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-08-13 10:20

厂商回复：

感谢提交，问题确实存在，研发该教育了！

漏洞评价：

2015-08-16 20:16 | 乌云首席鉴黄师 ( 普通白帽子 | Rank:121 漏洞数:45 | 妈妈，我要上电视)

研发该教育了！好苦逼的研发……没有开除Peter么？
2015-08-21 21:45 | 路人毛 ( 路人 | Rank:23 漏洞数:10 | 昨晚做梦，挖到了电信都漏洞，被电信起诉了...)

厂商有点意思。。。
2015-08-24 17:51 | Killapp ( 路人 | Rank:4 漏洞数:1 | 专注web安全)

尽然放在了git上，吊到不行

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133768

漏洞标题：顺丰优选某站源码泄漏涉及数据库密码

相关厂商：顺丰优选

漏洞作者： prolog

提交时间：2015-08-13 10:16

修复时间：2015-08-13 10:50

公开时间：2015-08-13 10:50

漏洞类型：重要敏感信息泄露

危害等级：低

自评Rank：5

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 prolog@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133768

漏洞标题：顺丰优选某站源码泄漏涉及数据库密码

相关厂商：顺丰优选

漏洞作者： prolog

提交时间：2015-08-13 10:16

修复时间：2015-08-13 10:50

公开时间：2015-08-13 10:50

漏洞类型：重要敏感信息泄露

危害等级：低

自评Rank：5

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0133768"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 prolog@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：