当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0172467

漏洞标题:某外包公司FTP密码泄漏导致客户代码泄漏(疑似涉及中国工商银行/光大银行/国信证券/中信建投/深交所等)

相关厂商:深圳市金证科技股份有限公司

漏洞作者: 岛云首席鉴黄师

提交时间:2016-01-27 14:50

修复时间:2016-03-14 14:25

公开时间:2016-03-14 14:25

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-27: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-14: 细节向公众公开

简要描述:

这外包公司的项目好多……都是大客户……给cncert吧……

详细说明:

QQ群引发的血案,涉及光大银行/国信证券/中信建投/深交所/中国工商银行

1.png


2.png


3.png


5.png


6.png

7.png


8.png


9.png


10.png

漏洞证明:

如上……

修复方案:

……

版权声明:转载请注明来源 岛云首席鉴黄师@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2016-01-29 15:16

厂商回复:

漏洞重复,CNVD不在重复处置。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-27 14:55 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个影响大了去了,这些个第三方啊。。

  2. 2016-01-27 15:05 | 陆由乙 ( 普通白帽子 | Rank:445 漏洞数:104 | 我是突突兔!)

    ......

  3. 2016-01-27 15:41 | Format_smile ( 普通白帽子 | Rank:361 漏洞数:136 | ···孰能无过,谁是谁非!)

    简直阔怕

  4. 2016-01-27 16:36 | code001 ( 路人 | Rank:27 漏洞数:7 | 爱生活,爱自由,希冀一个更加安全开放的互...)

    肯定是欺负程序员了

  5. 2016-01-27 17:06 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)

    不靠谱的第三方开发公司

  6. 2016-01-27 17:09 | 龙腾风云 ( 路人 | Rank:16 漏洞数:5 | IT老江湖,安全小菜鸟。)

    貌似福建某家公司

  7. 2016-01-27 17:57 | 一只猿 ( 普通白帽子 | Rank:509 漏洞数:92 | 硬件与无线通信研究方向)

    黑客好可怕

  8. 2016-01-27 18:02 | 龙腾风云 ( 路人 | Rank:16 漏洞数:5 | IT老江湖,安全小菜鸟。)

    看错了是金证

  9. 2016-01-27 18:14 | 黑猫警长 ( 实习白帽子 | Rank:60 漏洞数:22 | 眼睛睁得像铜铃。)

    我也发现一个,但都不是什么大公司,咋办?

  10. 2016-01-27 18:15 | Praise ( 路人 | Rank:10 漏洞数:1 | null 开心就要笑得如痴如醉~)

    Mark

  11. 2016-01-27 18:19 | 面具 ( 路人 | Rank:18 漏洞数:5 | 同样是一个B,往北走是NB,往南走就是SB,所以...)

    @疯狗 感觉这个漏洞和我提交的一样啊?http://wooyun.org/bugs/wooyun-2015-0157032

  12. 2016-01-27 18:20 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    @疯狗 其实标题最后写“深交所”的时候,我纯洁的内心是拒绝的

  13. 2016-01-27 18:23 | 黑猫警长 ( 实习白帽子 | Rank:60 漏洞数:22 | 眼睛睁得像铜铃。)

    @岛云首席鉴黄师 深交所!!!

  14. 2016-01-27 19:39 | 深圳证券交易所(乌云厂商)

    @岛云首席鉴黄师 厂商看不到漏洞详情,据301给出的信息,里面涉及深交所的是“集中交易深交所新一代交易系统全网测试指引20160115.rar”,该文件属于公开文件:http://www.szse.cn/main/rule/jysywzn/stsv5/。金证是做给券商做柜台系统的厂商,不是交易所的服务商。所以看到标题“我内心也是拒绝的”~~~当然,欢迎所有白帽子帮我们找漏洞,督促我们做的更好。

  15. 2016-01-27 19:58 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    @深圳证券交易所 你邮箱多少 我把可能涉及你们的 给你发一下截图?

  16. 2016-01-27 20:31 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    @深圳证券交易所 额 看了看~~留下的截图都上传了……我去挖你们的洞洞了……

  17. 2016-01-27 20:50 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    @黑猫警长 深交~

  18. 2016-01-27 22:47 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @岛云首席鉴黄师 私聊沟通下。。

  19. 2016-01-27 22:52 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    @zeracker 已私信~~~

  20. 2016-01-28 08:45 | 深圳证券交易所(乌云厂商)

    @岛云首席鉴黄师 那太好了,多谢啊。security@szse.cn(为啥没找到私信功能…)

  21. 2016-01-28 10:14 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    @深圳证券交易所 把厂商帐号密码给我,我教你…………哈哈哈,已经给你发送邮件啦