当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120065

漏洞标题:通付宝某处管理不当泄露敏感信息导致内部信息安全受到影响

相关厂商:通付宝网络技术有限公司

漏洞作者: 路人甲

提交时间:2015-06-12 18:14

修复时间:2015-07-27 18:16

公开时间:2015-07-27 18:16

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通付宝网络技术有限公司是国内领先移动金融创新及第三方支付企业。2013年成立,注册资金一亿元人民 币。公司总部坐落于中国改革前沿阵地——广州,占据有着广州硅谷和软件孵化中心之称的广州信息港,与中国国际电子商务中心、网易全球总部、加拿大北电集团亚洲总部、联想华南区总部、百度总部等大型IT企业为邻,昂扬迈步在华南区高科技前沿

详细说明:

这是一个神奇的网站:https://github.com/***/doc

6C210656-9FAC-45FA-8DAB-91FE540C0774.png


1、看到日志连接,就点进去了,目测url存在任意文件读取,于是。。。

F24F90CC-7D90-4468-AAF8-133FD426AACA.png


71E7FBCC-76C2-4806-A2C0-8A1EBC856B45.png


2、和很多大型平台(美丽说、携程、拉手网。。。)的对接文档,涉及用户名密码哦

BFD68390-007C-4FF6-A9B0-736D47E6CB63.png


3、邮箱沦陷

A30C8139-93CC-4798-9F18-11FAB7E3B90E.png


...
整个文档包括太多公司信息,还是尽快从github上删除吧。
通付宝看名称就知道涉及金融的,员工安全意识还有待加强,本次测试未作任何破坏,仅证明问题。

漏洞证明:

详细说明

修复方案:

加强安全意识

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)