快递安全只中通快递某站数据可被打包下载

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125445

漏洞标题：快递安全只中通快递某站数据可被打包下载

漏洞作者： myhalo

提交时间：2015-07-08 19:11

修复时间：2015-08-23 11:30

公开时间：2015-08-23 11:30

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-08：细节已通知厂商并且等待厂商处理中
2015-07-09：厂商已经确认，细节仅向厂商公开
2015-07-19：细节向核心白帽子及相关领域专家公开
2015-07-29：细节向普通白帽子公开
2015-08-08：细节向实习白帽子公开
2015-08-23：细节向公众公开

简要描述：

求个今天的首页

详细说明：

122.225.117.70

漏洞证明：

root@k:~# rsync 122.225.117.70::
www            	
wwwtest        	
img            	
wap            	
root@k:~# rsync 122.225.117.70::www
drwxr-xr-x        8192 2015/06/12 12:37:28 .
-rw-r--r--       66667 2015/03/14 14:12:38 1.txt
-rw-r--r--      717348 2015/03/12 10:32:47 111.txt
-rw-r--r--       65927 2015/03/14 14:12:40 2.txt
-rw-r--r--       64894 2015/03/14 14:12:42 3.txt
-rw-r--r--        2615 2014/09/17 21:35:34 404.aspx
-rw-r--r--         412 2014/11/11 11:31:05 CheckCode.aspx
-rw-r--r--         103 2014/08/15 09:11:16 Global.asax
-rw-r--r--        1087 2014/12/01 21:24:16 NLog.config
-rw-r--r--         414 2014/08/15 09:11:16 NewsDetail.aspx
-rw-r--r--         429 2014/08/15 09:11:16 SessionTest.aspx
-rw-r--r--          99 2014/08/15 09:11:16 UpdateHtml.asmx
-rw-r--r--       11323 2015/07/06 10:43:31 Web.config
-rw-r--r--        3403 2014/12/19 15:35:36 packages.config
-rw-r--r--          87 2014/08/15 09:11:16 test.asmx
-rw-r--r--         202 2013/12/07 19:27:50 结构目录说明.txt
drwxr-xr-x        4096 2015/03/13 21:27:46 AJAX
drwxr-xr-x           0 2015/03/13 21:27:55 Content
drwxr-xr-x        4096 2015/03/13 21:27:56 DataSource
drwxr-xr-x        4096 2015/04/24 18:22:49 Images
drwxr-xr-x        4096 2015/06/12 12:37:26 Libs
drwxr-xr-x     1048576 2015/03/13 21:27:41 NewsPages
drwxr-xr-x        8192 2015/03/13 21:27:43 Scripts
drwxr-xr-x           0 2015/03/13 21:27:43 SiteInfo
drwxr-xr-x           0 2015/03/13 21:27:44 Template
drwxr-xr-x           0 2015/06/09 16:37:31 TextLog
drwxr-xr-x        4096 2015/04/20 14:26:01 Views
drwxr-xr-x        4096 2015/03/13 21:27:47 app
drwxr-xr-x           0 2015/03/13 21:27:48 aspnet_client
drwxr-xr-x        8192 2015/06/12 12:33:41 bak
drwxr-xr-x       20480 2015/06/03 16:28:36 bin
drwxr-xr-x           0 2015/03/31 11:23:13 do_not_delete
drwxr-xr-x           0 2015/03/13 21:27:56 down
drwxr-xr-x        4096 2015/03/13 21:24:43 iframe
drwxr-xr-x       49152 2015/07/08 00:00:05 logs
drwxr-xr-x        8192 2015/03/13 21:26:23 m
drwxr-xr-x           0 2015/06/12 12:37:29 oneday
drwxr-xr-x        4096 2015/07/03 17:07:44 video

这个要全打包下来估计订单数据什么的都不是事

修复方案：

找运维啦

版权声明：转载请注明来源 myhalo@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-07-09 11:29

厂商回复：

感谢白帽子的辛苦劳动，开发人员已经在紧急修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125445

漏洞标题：快递安全只中通快递某站数据可被打包下载

相关厂商：中通速递

漏洞作者： myhalo

提交时间：2015-07-08 19:11

修复时间：2015-08-23 11:30

公开时间：2015-08-23 11:30

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 myhalo@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125445

漏洞标题：快递安全只中通快递某站数据可被打包下载

相关厂商：中通速递

漏洞作者： myhalo

提交时间：2015-07-08 19:11

修复时间：2015-08-23 11:30

公开时间：2015-08-23 11:30

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0125445"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 myhalo@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：