当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171516

漏洞标题:国联人寿某支付接口漏洞修复不当可造成大量用户信息泄漏

相关厂商:国联人寿

漏洞作者: 路人甲

提交时间:2016-01-20 23:18

修复时间:2016-03-05 09:52

公开时间:2016-03-05 09:52

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-20: 细节已通知厂商并且等待厂商处理中
2016-01-21: 厂商已经确认,细节仅向厂商公开
2016-01-31: 细节向核心白帽子及相关领域专家公开
2016-02-10: 细节向普通白帽子公开
2016-02-20: 细节向实习白帽子公开
2016-03-05: 细节向公众公开

简要描述:

修复不当

详细说明:

http://58.215.43.17:7001

QQ截图20160120224907.png


QQ截图20160120224933.png


写个shell
http://58.215.43.17:7001/payment/cssroot.jsp
密码:z

QQ截图20160120225042.png


各种shell未删除

漏洞证明:

有意思的东西在这里
/weblogic/webapp/payment/logs/

QQ截图20160120225159.png


用户支付信息

QQ截图20160120225218.png


QQ截图20160120225308.png


QQ截图20160120225340.png


日志文件有很多

QQ截图20160120225416.png


QQ截图20160120225442.png


QQ截图20160120225500.png

修复方案:

补丁or下线

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-21 14:45

厂商回复:

nb

最新状态:

暂无


漏洞评价:

评价