当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0205091

漏洞标题:空空狐某处信息泄露导致数据影响

相关厂商:kongkonghu.com

漏洞作者: 路人甲

提交时间:2016-05-05 10:19

修复时间:2016-06-19 10:40

公开时间:2016-06-19 10:40

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

简要描述:

详细说明:

https://github.com/WilliamLei/redis/blob/d0bc4c7524db89d6db21dc06948c9070223eb96d/src/main/resources/env/dev.properties
测试数据库,可连接

mask 区域
*****eadonly.u*****
*****rd=XT8HOpPWyezcm*****
*****f8i3rnm.mysql.rds.aliyuncs.c*****


QQ截图20160504205956.png


QQ截图20160504210211.png


测试环境的OSS凭证,同样可登陆

mask 区域
*****=okSXj1D*****
*****xEIO1FUdUNxQ*****
*****ame=st*****
*****ss-cn-beiji*****


QQ截图20160504210432.png


测试redis

mask 区域
*****114.215*****
*****ort=*****
*****bot_Bei*****


QQ截图20160504210952.png


生产环境的配置文件

https://github.com/WilliamLei/redis/blob/d0bc4c7524db89d6db21dc06948c9070223eb96d/src/main/resources/env/prod.properties


mask 区域
*****is*****
*****r=10.4*****
*****ort=*****
*****bot_Bei*****
*****^^*****
*****me=al*****
*****qTnL8AU60fs*****
*****l.rds.aliyuncs.com:3306*****
*****ctiv*****
*****lSize*****
**********
*****donly.user*****
*****rd=631uFGuhAqTnL*****
*****swoyj7l.mysql.rds.aliyuncs.c*****


连不上
正式环境的OSS

mask 区域
*****=okSXj1D*****
*****xEIO1FUdUNxQ*****
*****ame=st*****
*****-cn-beijing.*****
*****//oss-cn-beiji*****
*****liyuncs.com/stage-ydd*****


这个可以连

QQ截图20160504212607.png


里面都是全站的图片文件,包括各种头像,商品图片等。下载后改后缀就能显示了
我只下一个文件夹

QQ截图20160504212750.png


如何判断是否是正式环境的OSS
安装个空空狐的APP,随便找了张图片的地址

QQ截图20160504214404.png


再到刚的OSS去查,是不是有这张图片

QQ截图20160504214517.png


可以查到该图片

漏洞证明:

不管是测试环境还是正式环境,如果被删了,也是相当尴尬的。

修复方案:

取消分享,改密码
挖洞不易,求别给低危,就跟莫名差评一个道理,如果能给20那是极好的

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-05-05 10:37

厂商回复:

已确认,感谢。

最新状态:

暂无