漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-04818
漏洞标题:拜丽德集团重要资源泄露
相关厂商:拜丽德集团
漏洞作者: horseluke
提交时间:2012-02-25 22:33
修复时间:2012-04-10 22:33
公开时间:2012-04-10 22:33
漏洞类型:应用配置错误
危害等级:低
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-02-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
拜丽德集团重要资源泄露
详细说明:
(由于本漏洞可能严重影响正常门店的营运,故不敢继续测试,也不敢详说,只能以“重要资源泄露”说明)
拜丽德集团域名shop.belide.cn因为默认配置不当,导致允许列目录和文件。
其中存在一个web service目录,列出该集团所使用的大部分(甚至是所有?)的web service服务,依据这些web service可以获取该集团的所有门店信息甚至是POS机的用户信息等。
漏洞证明:
以某个POS终端web service服务的用户信息为例(已隐藏部分信息):
所有web service服务(太恐怖了!).......
修复方案:
1、不允许服务器列目录
2、禁止搜索引擎访问该服务器
版权声明:转载请注明来源 horseluke@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝