2014-04-06:细节已通知厂商并且等待厂商处理中
2014-04-06:厂商已经确认,细节仅向厂商公开
2014-04-16:细节向核心白帽子及相关领域专家公开
2014-04-26:细节向普通白帽子公开
2014-05-06:细节向实习白帽子公开
2014-05-21:细节向公众公开
这几天在群里,看见基友聊过此问题,自己也做了测试,的确需要引起重视。
此平台是新网内部运营平台,简单的弱命令,可造成会员、代理商、域名解析、邮箱、空间服务器等密码等泄露,该系统存在重大业务泄露的风险,可造成密码泄露,任意上传、下载、删除空间资料,任意解析域名,任意查看邮局资料……
这几天在群里,看见基友聊过此问题,自己也做了测试,的确需要引起重视。
此平台是新网内部运营平台,简单的弱命令,可造成会员、代理商、域名解析、邮箱、空间服务器等密码等泄露,该系统存在重大业务泄露的风险,可造成密码泄露,任意上传、下载、删除空间资料,任意解析域名,任意查看邮局资料……
之前有基友发过此内容。
WooYun: 从一个司机的邮箱开始测试新网(Zabbix、cacti、Zenoss、BSS、防火墙、限制关键词等N多系统沦陷)
未被引起重视,依旧弱命令……
为不重视默哀…………
http://fuwu.myxinnet.com/
id:李建峰 123456
只要是新会员 依旧123456 你方便了,风险就越大了
。。。。。。
无语所以的业务 都可以查看到
身份证 电话 公司的营业执照 居然都可以看到
瞧瞧还有什么
这平台有太多的重要信息,比如身份证 企业资质,域名管理权限,电话 地址 等等!这些都是设计到贵公司核心的业务,对会员来说,因素也是重要的,忘引起重视!
不打码了…………(就此截止)
无语所以的业务 都可以查看到
身份证 电话 公司的营业执照 居然都可以看到
瞧瞧还有什么
这平台有太多的重要信息,比如身份证 企业资质,域名管理权限,电话 地址 等等!这些都是设计到贵公司核心的业务,对会员来说,因素也是重要的,忘引起重视!
不打码了…………(就此截止)
建议更换平台,PHPWind v7.0 本身就存在诸多漏洞,如果以此作为内部管理,权限不好设置,漏洞也太多。
如果不换的话
1、修改密码 并设置复杂的密码规则
2、首页展示的新会员 ,在源代码中删除
3、业务处理完后 及时移走(放到一个大家都无法查看的版块 或者加密处理)
危害等级:高
漏洞Rank:20
确认时间:2014-04-06 23:31
厂商回复:漏洞已收到,正在玩命排查与修复中,谢谢@路人甲
最新状态:暂无