当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125262

漏洞标题:雷锋网某站配置不当已外联数据库

相关厂商:雷锋网

漏洞作者: null_z

提交时间:2015-07-08 09:53

修复时间:2015-08-23 18:12

公开时间:2015-08-23 18:12

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-08: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认,细节仅向厂商公开
2015-07-19: 细节向核心白帽子及相关领域专家公开
2015-07-29: 细节向普通白帽子公开
2015-08-08: 细节向实习白帽子公开
2015-08-23: 细节向公众公开

简要描述:

搞不懂你们服务器咋配置的。影响全站用户,不要说测试数据了!

详细说明:

这儿 http://files.leiphone.com/
影响全站用户
直接浏览源代码,无语。。
读一下代码找到配置文件在这儿http://files.leiphone.com/protected/config/main-test.php
然后就

'wankrDb' => [
            'connectionString'  => 'mysql:host=113.106.92.93;dbname=wankr100',
            'emulatePrepare'    => true,
            'username'          => 'www',
            'password'          => 'root',
            'charset'           => 'utf8',
            'tablePrefix'	    => 'yp_',


直接外联数据库了

2015-07-07 22:43:41的屏幕截图.png

漏洞证明:

2015-07-07 22:43:41的屏幕截图.png

修复方案:

给个高rank继续帮你们测试哦,么么哒。。。。

版权声明:转载请注明来源 null_z@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-09 18:11

厂商回复:

真的不想说这是测试服务器,但test的开头您也能看到,不过即便是测试数据,整个库泄漏也是很严重的事情。我们已经及时修补,非常感谢~

最新状态:

暂无