当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159125

漏洞标题:维信理财某处信息泄露危害全公司业务

相关厂商:vcredit.com

漏洞作者: 路人甲

提交时间:2015-12-16 21:31

修复时间:2016-01-25 18:01

公开时间:2016-01-25 18:01

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-16: 细节已通知厂商并且等待厂商处理中
2015-12-17: 厂商已经确认,细节仅向厂商公开
2015-12-27: 细节向核心白帽子及相关领域专家公开
2016-01-06: 细节向普通白帽子公开
2016-01-16: 细节向实习白帽子公开
2016-01-25: 细节向公众公开

简要描述:

RT

详细说明:

公司开发github帐号配置不当导致公司业务配置信息泄露
该帐号就没有设置访问权限,该帐号下的几个项目都可以随意查看;

https://github.com/JohnZhangJava


选了一个p2p项目下的配置

文件查看

<code>https://github.com/JohnZhangJava/MyWorkSpace/blob/e05a950c91b34641de3361b47c83282e8ff80571/project/p2p/p2p_v1_3_1_server/.svn/pristine/b3/b39b184350c6c3179a3bce753c5e16182ba0029a.svn-base

</code>

漏洞证明:

配置文件中可以看到邮箱的帐号密码,以及数据库的配置信息,和第三方金融机构api的接口的配置信息:
从邮箱中可以看出该github是维信理财的

09C67D25-97A4-4980-AFB7-DE307E551B89.png


获取的邮箱帐号密码进行登陆尝试:

[email protected]
spring.mail.password=weixin1234567..


登陆地址:

mail.vcredit.com


然后进行关键字搜索,比如密码:
搜到了维信理财使用的支付公司的接口的帐号密码以及交易密码:
见图:

屏幕快照 2015-12-07 下午6.58.43.png


屏幕快照 2015-12-07 下午7.03.53.png


原来使用的汇付天下的支付服务
利用图中的帐号密码测试登录:
金额吓了一条,不敢在测试了,到此为止

屏幕快照 2015-12-07 下午7.01.10.png


并且泄漏的信息里面除了支付的登录密码,还有交易密码,危害够高了
这个github列出的泄漏信息只是一个p2p的一个配置文件,应该还有更严重的信息,或者如果攻击者把源码打包回去慢慢研究,估计公司的业务都会面临瘫痪的可能。

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-17 14:43

厂商回复:

感谢对维金荟的关注。

最新状态:

暂无