当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148856

漏洞标题:华图教育旗下图书网源代码与砖题库大量资料泄露

相关厂商:华图教育

漏洞作者: 路人甲

提交时间:2015-10-23 14:37

修复时间:2015-10-28 14:38

公开时间:2015-10-28 14:38

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-23: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

华图教育旗下华图图书网(book.huatu.com)、砖题库(tiku.huatu.com)、zw.huatu.com网站存在多个备份文件可下载。包括网站源代码,大量文档资料包括记录真实信息的大量Excel文档, 还有大量真题库的pdf文档。

详细说明:

泄露的备份文件如下:
1、http://book.huatu.com/z.zip; 769MB,源码泄露
2、http://tiku.huatu.com/cdn.tar.bz2; 2.92GB ,海量文档资料泄露
3、http://zw.huatu.com/zhiwei2015.tar
4、http://zw.huatu.com/buweisearch.tar

总.jpg


1、http://book.huatu.com/z.zip
z.zip,769MB,网站源代码。

概况.jpg


数据库连接密码:

login.php.jpg


数据库连接密码.jpg


2、http://tiku.huatu.com/cdn.tar.bz2
大量文档资料,包括出题人,审核人,题库。

wd1.jpg


excel.jpg


excel例子.jpg


pdf.jpg


pdf真题.jpg


还有....什么鬼,疑似服务器桌面。

疑似服务器桌面.jpg


3、http://zw.huatu.com/zhiwei2015.tar
4、http://zw.huatu.com/buweisearch.tar

漏洞证明:

见漏洞详情

修复方案:

1、备份文件不要放在Web目录下,移到别处,一定要注意
2、已泄露的数据库连接密码记得更改

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-28 14:38

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无