当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092389

漏洞标题:微拍主站200W数据库信息泄露美女信息等你来挖掘

相关厂商:微拍

漏洞作者: 路人甲

提交时间:2015-01-17 13:41

修复时间:2015-03-03 13:42

公开时间:2015-03-03 13:42

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-17: 细节已通知厂商并且等待厂商处理中
2015-01-17: 厂商已经确认,细节仅向厂商公开
2015-01-27: 细节向核心白帽子及相关领域专家公开
2015-02-06: 细节向普通白帽子公开
2015-02-16: 细节向实习白帽子公开
2015-03-03: 细节向公众公开

简要描述:

微拍所有的数据都在这里哦~

详细说明:

1.室友最近在玩微拍(微拍http://www.weipai.cn/ ),昨天给我推荐了一个视频,打开一看妹子长得还不错

1.png


2.绕过CDN直接找到微拍真实IP:182.254.132.14,Mongodb未授权访问

system.jpg


200W用户数据,自己进去找心仪的美女啦

2002.jpg


整体上来说,微拍主站数据量还是比较大的

info2.jpg

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-01-17 14:11

厂商回复:

很感谢白帽子的挖掘。该数据库是研发部门做测试用的,确实包含一些数据。已经第一时间联系研发部相关负责人紧急下线机器。同时对研发进行三天三夜不停歇的吊打,再次感谢乌云所有白帽子!

最新状态:

2015-01-17:再次和研发确认了,数据库当中的数据全是日志。并不存在用户隐私信息。路人甲小伙伴如果方便的话我们单独聊聊,我的ID@鸟云厂商,可以PM我。

漏洞评价:

评论

  1. 2015-01-17 13:59 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:103 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    神奇的路人甲

  2. 2015-01-17 14:30 | 白开水 ( 普通白帽子 | Rank:242 漏洞数:21 | 苍茫的天涯是我的爱~)

    同时对研发进行三天三夜不停歇的吊打,再次感谢乌云所有白帽子!

  3. 2015-01-17 14:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    赞厂商

  4. 2015-01-17 14:50 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    目测研发没有限制好测试环境导致数据库泄露

  5. 2015-01-17 14:58 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:103 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    路人甲小伙伴如果方便的话我们单独聊聊,我的ID@鸟云厂商,可以PM我。鸟云厂商? @鸟云厂商

  6. 2015-01-17 15:01 | her0ma ( 核心白帽子 | Rank:598 漏洞数:83 | 专注小厂商三十年!)

    赞厂商

  7. 2015-01-17 15:07 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:103 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    赞厂商

  8. 2015-01-17 15:18 | 吃虾小能手 ( 普通白帽子 | Rank:213 漏洞数:21 | 老板,还有虾吗?)

    鸟云厂商。。。。。

  9. 2015-01-17 15:22 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:32 | X)

    @鸟云厂商

  10. 2015-01-17 15:28 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:145 | 中国菜鸟)

    路人甲~快联系我~

  11. 2015-01-17 15:32 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @单独聊聊

  12. 2015-01-17 16:28 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:103 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    @xsser 审核下我的漏洞。 摸摸大

  13. 2015-01-17 16:50 | 黑白 ( 路人 | Rank:0 漏洞数:1 | why so diao)

    单独聊聊,@鸟云厂商

  14. 2015-01-17 16:57 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:103 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    @鸟云厂商 汉庭888号房,我们单独聊聊

  15. 2015-01-17 18:57 | answer ( 普通白帽子 | Rank:347 漏洞数:41 | 答案)

    嘿嘿 吊

  16. 2015-01-17 19:58 | 残雪 ( 实习白帽子 | Rank:34 漏洞数:7 | 屌丝一枚擅长扯淡)

    吊打三天........

  17. 2015-01-17 20:04 | 咖啡 ( 实习白帽子 | Rank:48 漏洞数:18 )

    @鸟云厂商

  18. 2015-01-17 21:05 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:134 | 多乌云、多机会!微信公众号: id:a301zls ...)

    好厂商

  19. 2015-01-17 21:33 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:145 | 中国菜鸟)

    @zcy 就你话多

  20. 2015-01-17 22:02 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @鸟云厂商 来咯。我们去吃火锅

  21. 2015-02-16 20:14 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    对研发进行三天三夜不停歇的吊打

  22. 2015-02-16 22:47 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:125 | <a href=javascrip:alert('xss')>s</a> 点...)

    @xsser 帮审核下吧,,谢谢了。。。

  23. 2015-03-03 14:38 | hkmm ( 路人 | Rank:4 漏洞数:4 | 世上女人千千万,实在不行天天换)

    对研发进行三天三夜不停歇的吊打,路人甲希望你不要联系他。你的前辈就是很好的例子,被吊打了

  24. 2015-03-07 21:55 | 悠然 ( 路人 | Rank:11 漏洞数:2 | 掏粪哪家强?ด้้้้้็็็็็้้้...)

    @三天三夜 不停歇的吊打

  25. 2015-03-10 22:32 | n1Ce ( 路人 | 还没有发布任何漏洞 | 面基品茶撸啊撸)

    屌打屌打