当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0160799

漏洞标题:9158固定资产管理系统源码、500员工邮箱、组织成员分布泄漏

相关厂商:天格科技(杭州)

漏洞作者: c4bbage

提交时间:2015-12-13 12:42

修复时间:2015-12-15 11:44

公开时间:2015-12-15 11:44

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-13: 细节已通知厂商并且等待厂商处理中
2015-12-14: 厂商已经确认,细节仅向厂商公开
2015-12-15: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

由于员工意识问题导致泄漏9158固定资产管理系统源码、500+员工邮箱、组织成员分布

详细说明:

员工无安全意识把公司 固定资产管理系统源码上传到github
github : https://github.com/LeeAce/FASystem
其中存在大量工作邮箱地址、部门人员配备
从中提取的email 有537个:
cat 1.txt |sort |uniq |wc -l
537
从中提取的部门有:
cat 9158.txt |cut -d' ' -f 4|sort |uniq
91555运营部
9158运营部
IT部
matches
公关部
市场部
总经办
法务部
研发部
网站部
行政部
财务部
项目部
信息化部
.//Web/web.config:42: <add name="CusDB" connectionString="server=Lee; User ID=sa;Password=123456789;database=fasystem;" />
.//PrecompiledWeb/Web/web.config:38: <add name="CusDB" connectionString="server=192.168.0.250; User ID=sa;Password=pwd@123;database=fasystem1;" />

漏洞证明:

邮箱及部门人员配置证明(部分):

mask 区域
*****^晓红 邮箱地^*****
*****^政军 邮箱地*****
*****: Matt 邮箱^*****
*****胡之光 邮箱*****
*****^治 邮箱地址*****
*****^^东 邮箱地址*****
*****^宇斌 邮箱地*****
*****郑陈勇 邮箱^*****
*****王董 邮箱地^*****
*****^茂兵 邮箱地^*****
*****: 林辉 邮箱^*****
*****郑贞龙 邮箱^*****
*****: 徐佳 邮箱^*****
*****^建飞 邮箱地^*****
*****: 马俊杰 邮^*****
*****^丹 邮箱地址: *****
*****^宏博 邮箱地^*****
*****^东风 邮箱地^*****
*****^荣耀 邮箱地^*****
*****^宏浩 邮箱地^*****
*****罗陈 邮箱地^*****
*****张健 邮箱地^*****
*****彭盛 邮箱地^*****
*****魏丽娜 邮箱^*****
*****胡斌涵 邮箱^*****
*****: 杨辉 邮箱^*****
*****章学勋 邮箱^*****
*****颜斌 邮箱地^*****
*****^威明 邮箱地^*****
*****^英辉 邮箱地^*****
*****陆君 邮箱地^*****
*****夏鸿 邮箱地^*****
***** 严俊杰 邮箱地*****
*****^^中伟 邮箱地*****
*****^^晶 邮箱地址*****
***** 刘涛 邮箱地*****
*****肖丹 邮箱地址*****

修复方案:

1 删除github,加强培训
2 做好防钓鱼方案

版权声明:转载请注明来源 c4bbage@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-14 14:08

厂商回复:

感谢提交,我们将尽快处理!

最新状态:

2015-12-15:相关源码已在github上删除,感谢提交!


漏洞评价:

评价