当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118408

漏洞标题:小说阅读网某分站全站源码泄漏(数据库信息泄漏导致上百万会员信息泄漏)

相关厂商:小说阅读网

漏洞作者: 半仙

提交时间:2015-06-08 11:39

修复时间:2015-07-23 11:40

公开时间:2015-07-23 11:40

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网站有8000多万会员,这里我只找到了100万左右的会员信息,因为数据库都好几十个,每个数据库又那么多表,应该不止100万的会员信息泄漏!这里只作漏洞概述,不求具体泄漏数量,希望紧急修复!

详细说明:

http://s.readnovel.com/.svn/entries 可以用svn源码泄漏工具查看全站源代码

1.png


数据库配置文件位置:

2.png


数据库连接信息:

3.jpg


'host' => '124.42.92.198',
			'port' => '3306',
			'user' => 'remotedbuser',
			'password' => 'readnovel',
			'database' => 'novel',
			'charset' => 'latin1'


可以连接,几十个数据库:

4.png


这两个表就将近100万会员数据:

11.png


10.jpg


漏洞证明:

如上

修复方案:

删除svn

版权声明:转载请注明来源 半仙@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)