当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08459

漏洞标题:东方购物网上商城目录遍历数据库密码泄露服务器信息泄露

相关厂商:东方购物

漏洞作者: 蟋蟀哥哥

提交时间:2012-06-19 09:04

修复时间:2012-08-03 09:05

公开时间:2012-08-03 09:05

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

几个一起发。综合起来可利用度极高.!!!!!

详细说明:

商城目录遍历数据库密码泄露服务器信息泄露

漏洞证明:

商城目录遍历


数据库密码泄露
db_host = pudong
db_user = ocj_user
db_password = j83f8u
db_name = ocj_shopping
服务器信息泄露

Server Version: Apache/2.2.17 (Unix) mod_fcgid/2.3.5
Server Built: Mar 25 2011 14:41:17
Server loaded APR Version: 1.4.2
Compiled with APR Version: 1.4.2
Server loaded APU Version: 1.3.10
Compiled with APU Version: 1.3.10
Module Magic Number: 20051115:25
Hostname/port: wap.ocj.com.cn:80
Timeouts: connection: 300    keep-alive: 5
MPM Name: Worker
MPM Information: Max Daemons: 3 Threaded: yes Forked: yes
Server Architecture: 64-bit
Server Root: /usr/local/apache-2.2.17
Config File: /usr/project/apache_eth0/http_80/conf/httpd.conf
Server Built With: -D APACHE_MPM_DIR="server/mpm/worker" -D APR_HAS_SENDFILE -D APR_HAS_MMAP -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled) -D APR_USE_SYSVSEM_SERIALIZE -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT -D APR_HAS_OTHER_CHILD -D AP_HAVE_RELIABLE_PIPED_LOGS -D HTTPD_ROOT="/usr/local/apache-2.2.17" -D SUEXEC_BIN="/usr/local/apache-2.2.17/bin/suexec" -D DEFAULT_ERRORLOG="logs/error_log" -D AP_TYPES_CONFIG_FILE="conf/mime.types" -D SERVER_CONFIG_FILE="conf/httpd.conf"

修复方案:

你们比哥专业!

版权声明:转载请注明来源 蟋蟀哥哥@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝