当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142580

漏洞标题:丹露网泄露部分客户资料 进货价钱

相关厂商:丹露网

漏洞作者: dslxin

提交时间:2015-09-24 22:25

修复时间:2015-11-09 17:42

公开时间:2015-11-09 17:42

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 细节已通知厂商并且等待厂商处理中
2015-09-25: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-10-05: 细节向核心白帽子及相关领域专家公开
2015-10-15: 细节向普通白帽子公开
2015-10-25: 细节向实习白帽子公开
2015-11-09: 细节向公众公开

简要描述:

RT
PS:老板送瓶酒喝喝

详细说明:

通过QQ群搜索 搜索关键信息 搜索出来 包括后台地址 账号密码都明文写出来了,进入后发现大量订单信息 可查看客户地址 电话 交易金额 单价功能甚多。
丹露网站http://**.**.**.**/ 登陆名:lzys 密码gsys2650666
PS:老板送瓶酒喝喝

1.jpg

2.png

3.png

4.jpg

5.png

6.jpg

7.png

8.png

9.png

10.png

11.jpg

漏洞证明:

通过QQ群搜索 搜索关键信息 搜索出来 包括后台地址 账号密码都明文写出来了,进入后发现大量订单信息 可查看客户地址 电话 交易金额 单价功能甚多。
丹露网站http://**.**.**.**/ 登陆名:lzys 密码gsys2650666
PS:老板送瓶酒喝喝

1.jpg

2.png

3.png

4.jpg

5.png

6.jpg

7.png

8.png

9.png

10.png

11.jpg

修复方案:

查一下这个是谁的群 让他删掉此类信息 以免影响客户信息泄露 对公司造成不必要的损失
更改密码
PS:老板送瓶酒喝喝

版权声明:转载请注明来源 dslxin@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-25 17:40

厂商回复:

暂未建立与网站管理单位的直接处置渠道,待认领.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-16 17:30 | 丹露成都网络技术有限公司(乌云厂商)

    你好,我是丹露成都网络技术有限公司,得知我们的网站存在严重的安全漏洞之后非常重视,非常感谢您提供信息。请告知漏洞细节,万分感谢

  2. 2015-10-16 22:57 | dslxin ( 普通白帽子 | Rank:101 漏洞数:29 | 女神你去哪里了,我找不到你了。)

    @丹露成都网络技术有限公司 给我个高Rank也好啊 厂商。。。。我还等红酒呢。。。。。哈哈哈哈

  3. 2015-10-19 10:06 | 上海丹露电子信息科技有限公司(乌云厂商)

    :)请透露一下细节,如果确实严重我们会给出一个符合漏洞级别的Rank,非常感谢

  4. 2015-10-19 10:30 | dslxin ( 普通白帽子 | Rank:101 漏洞数:29 | 女神你去哪里了,我找不到你了。)

    @上海丹露电子信息科技有限公司 我已经很详细的发出来了 你们看不到吗?

  5. 2015-10-19 10:35 | dslxin ( 普通白帽子 | Rank:101 漏洞数:29 | 女神你去哪里了,我找不到你了。)

    @上海丹露电子信息科技有限公司 你是不是没有认领漏洞啊。所以你看不到?

  6. 2015-10-20 09:42 | 上海丹露电子信息科技有限公司(乌云厂商)

    漏洞状态是已经确认,也无法找到认领的地方。是否之前已经有人认领过?如果方便的话能把细节发送security@danlu.com 邮箱吗,非常感谢,麻烦了:)

  7. 2015-10-20 10:29 | dslxin ( 普通白帽子 | Rank:101 漏洞数:29 | 女神你去哪里了,我找不到你了。)

    @上海丹露电子信息科技有限公司 有礼物吗。。。。已发