金融界某站点敏感文件外泄

编号222103
Urlhttp://www.wooyun.org/bug.php?action=view&id=222103
漏洞状态厂商已经修复
漏洞标题金融界某站点敏感文件外泄
漏洞类型敏感信息泄露
厂商jrj.com.cn
白帽子小白G
提交日期2016-06-23 11:15:00
公开日期2016-06-23 15:35:00
修复时间2016-06-23 15:35:00
确认时间2016-06-23 00:00:00
Confirm Spend0
漏洞标签敏感信息泄露
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank8
漏洞简介
金融界某站点敏感文件泄露(源码泄漏)   泄漏了数据库配置等诸多敏感信息 
漏洞细节

管理员的安全意识问题:http://istock.jrj.com.cn/istock.tar.gz
直接下载整站源码

h1.jpg


h2.jpg


h3.jpg


h4.jpg


h5.jpg


h6.jpg


泄露了诸多数据库配置信息 以及链接信息
附一处配置不当导致敏感信息泄露(神器扫的)
Resin Misconfigurations
http://istock.jrj.com.cn/%3f.jsp

h7.jpg


POC

h3.jpg


h4.jpg


h5.jpg


h6.jpg

修复方案

删除备份文件 提高安全意识

状态信息 2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-23: 厂商已经确认,细节仅向厂商公开
2016-06-23: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复感谢提供漏洞
回应信息危害等级:中漏洞Rank:8 确认时间:2016-06-23 15:35