西安房地产信息网八百家源码泄漏/数据库泄漏/1w+用户实名手机号邮箱

编号132787
Urlhttp://www.wooyun.org/bug.php?action=view&id=132787
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题西安房地产信息网八百家源码泄漏/数据库泄漏/1w+用户实名手机号邮箱
漏洞类型敏感信息泄露
厂商西安房地产信息网
白帽子prolog
提交日期2015-08-09 14:12:00
公开日期2015-09-23 14:14:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签敏感信息泄露
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank15
漏洞简介
西安房地产信息网八百家源码泄漏/数据库泄漏/1w+用户实名手机号邮箱
漏洞细节

https://github.com/biyefeilan/xyplatform


800j.com.cn pr5的站...
https://github.com/biyefeilan/xyplatform/blob/a2b5fd1356b076f1a80e162d1f1a9a30f360901b/ulync-platform-webapp/src/main/resources/templates/register/form.html

sjesrju.PNG


https://github.com/biyefeilan/xyplatform/blob/master/ulync-platform-webapp/src/main/resources/application-dev.properties


spring.datasource.url=jdbc:mysql://218.30.15.220:3306/xiyu_uums?useUnicode=true&characterEncoding=UTF-8&zeroDateTimeBehavior=convertToNull
spring.datasource.username=xiyu_uums
spring.datasource.password=xiyuuums


djsdj.PNG


还好密码加盐了..

sejesj.PNG

POC

..

修复方案

..

状态信息 2015-08-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-23: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝漏洞Rank:15 (WooYun评价)