当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133241

漏洞标题:大搜车某服务弱口令导致大量用户及业务数据泄露(含密码)

相关厂商:souche.com

漏洞作者: 唐朝安全巡航

提交时间:2015-08-12 00:09

修复时间:2015-09-30 07:16

公开时间:2015-09-30 07:16

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-12: 细节已通知厂商并且等待厂商处理中
2015-08-16: 厂商已经确认,细节仅向厂商公开
2015-08-26: 细节向核心白帽子及相关领域专家公开
2015-09-05: 细节向普通白帽子公开
2015-09-15: 细节向实习白帽子公开
2015-09-30: 细节向公众公开

简要描述:

为你巡航!

详细说明:

mysql弱口令

IP: 121.199.21.232 存在mysql弱口令:<br>121.199.21.232:3306<br>用户名:root <br> 密码:1qaz2wsx


直接可以登陆数据库,里面包含大部分业务的数据库

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| auction_pro        |
| centralized        |
| home_intra         |
| loanbuy            |
| loanbuydev         |
| loanbuytest        |
| loanonline_test    |
| loanv3test         |
| mysql              |
| paimai_center_test |
| performance_schema |
| phoenix_gui        |
| rap_db             |
| redmine            |
| scrapy             |
| souche             |
| souche_center      |
| souche_trade       |
| souche_trade_test  |
| soucheapp          |
| souchecar          |
| soucheccic         |
| souchedev          |
| souchetest         |
| temp_report        |
| test               |
| zentao             |
+--------------------+
28 rows in set (0.04 sec)

漏洞证明:

1.png


4.png


3.png

修复方案:

修改弱口令,并设置访问ip限制。

版权声明:转载请注明来源 唐朝安全巡航@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-08-16 07:14

厂商回复:

谢谢

最新状态:

暂无