当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106423

漏洞标题:重庆某敏感单位信息系统运维不当致全市1000W信息泄露

相关厂商:公安部一所

漏洞作者: Vig0r

提交时间:2015-04-07 17:10

修复时间:2015-05-24 13:10

公开时间:2015-05-24 13:10

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-07: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经确认,细节仅向厂商公开
2015-04-19: 细节向核心白帽子及相关领域专家公开
2015-04-29: 细节向普通白帽子公开
2015-05-09: 细节向实习白帽子公开
2015-05-24: 细节向公众公开

简要描述:

运维问题 泄露数据

详细说明:

mask 区域 
*****信息33万条、驾驶人计分信息7.7万条、死亡事故同等以上责任查询 0.5万条。数据中的车辆牌照、车架^*****
**********
1.://**.**.**//219.153.5.18:2333/jggov/72057594037927936/index.html


服务器ip:219.153.*.***(重庆市电信)该服务器开启21端口,经弱口令检测发现存在用户名:ftp密码为空的用户。该ftp存在大量敏感信息(包括*.emp Oracle数据库导出文件 txt文档) 最新数据已加盐处理 2014年8月前数据为明文
</mask>

漏洞证明:

mask 区域 
*****8d15f7b758dba09922.jpg"*****
*****c5beb7da2cd6.jpg" alt=&quo*****
*****^^章地点,处罚情况,处理依据,^*****
*****0c2b9419f2fc7fd587.jpg"*****
*****^^信^*****
*****15e0b6befddd3d2032.jpg"*****
*****^^多地方查询 例如:自助违章查询*****
*****^^章地点,处罚情况,处罚单位,^*****
*****587b3bdfce8e6131dc.jpg"*****
*****^^,档案号,驾驶人^*****
*****560661f0445ba1d2aa.jpg"*****
*****^以上责^*****
*****bfb059b638f241ebd8.jpg"*****
**********
*****个^*****
*****  36,558,848 *****
*****^    861,19*****
*****^一个是查询系^*****
**********
*****^web^*****
1.http://**.**.**/cxxt/jdcwf.html 应该都是这里的数据吧

修复方案:

版权声明:转载请注明来源 Vig0r@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-09 13:09

厂商回复:

验证确认所描述的问题,已通知其修复。

最新状态:

暂无