漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05756
漏洞标题:盛大某两个网易数据库报错致敏感信息泄露等
相关厂商:盛大在线
漏洞作者: zeracker
提交时间:2012-04-02 23:16
修复时间:2012-04-07 23:17
公开时间:2012-04-07 23:17
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-04-02: 细节已通知厂商并且等待厂商处理中
2012-04-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
盛大某两个网易数据库报错致敏感信息泄露等,其中一个站貌似存在盲注。
站在攻击者的角度上考虑,细节是很重要的。
虽然有个站是你们停止运营了。还是以安全的角度考虑吧。
详细说明:
http://cy.sdo.com/200909/jisi/data.php
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'root'@'localhost' (using password: NO) in/usr/local/apache/htdocs/200909/jisi/data.php on line 5
Access denied for user 'root'@'localhost' (using password: NO)
http://mhwq.sdo.com/main/Cgi/hdzq.php
http://mhwq.sdo.com/main/Cgi/hdzq.php 这个站好像存在盲注。
Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '211.150.70.7' (4) in /usr/local/apache2/htdocs/web/new_mhwq_sdo/main/Bin/Core/wpe.php on line 30
Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /usr/local/apache2/htdocs/web/new_mhwq_sdo/main/Cgi/hdzq.php on line 60
Warning: mysql_close(): no MySQL-Link resource supplied in /usr/local/apache2/htdocs/web/new_mhwq_sdo/main/Cgi/hdzq.php on line 61
Error 001sql: SELECT * FROM wt_news where A_class2ID in(3) AND B_recommend=0 ORDER BY B_recommend DESC, B_red DESC, B_date DESC LIMIT 0,6 info: Can't connect to MySQL server on '211.150.70.7' (4)
漏洞证明:
修复方案:
你们懂的,QQ2036234
虽然有个站是你们停止运营了。还是以安全的角度考虑吧。
版权声明:转载请注明来源 zeracker@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-04-07 23:17
厂商回复:
最新状态:
暂无