漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0145407
漏洞标题:玩蟹科技海外VPN账号密码泄露
相关厂商:playcrab.com
漏洞作者: zhchbin
提交时间:2015-10-09 09:41
修复时间:2015-10-14 09:42
公开时间:2015-10-14 09:42
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-09: 细节已通知厂商并且等待厂商处理中
2015-10-14: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
不要把邮箱密码放到Github
详细说明:
首先:https://github.com/shaovie/heracles/blob/f5fa8e5a1eab51ec76438dbd9656f27a0d9209db/tmp/sendmail.py#L103
这里泄露了一个邮箱跟密码
from_pwd = '3985112'
from_addr = 'playcrab_alarm@163.com'
好奇试了一下:
这时间就是今天中午的。虽然没有试着去登录他们的海外VPN,但感觉基本不会错的东西。
漏洞证明:
修复方案:
赶紧改吧!
然后,想不明白为什么是163的邮箱对公司的个人邮箱发这么重要的信息。
版权声明:转载请注明来源 zhchbin@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-14 09:42
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
2015-10-14:感谢提交,已经确认问题。并删除相关git项目,修改邮箱密码。