漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
拜丽德集团重要资源泄露
相关厂商:
漏洞作者:
提交时间:
2012-02-25 22:33
修复时间:
2012-04-10 22:33
公开时间:
2012-04-10 22:33
漏洞类型:
应用配置错误
危害等级:
低
自评Rank:
5
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2012-02-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
拜丽德集团重要资源泄露
详细说明:
(由于本漏洞可能严重影响正常门店的营运,故不敢继续测试,也不敢详说,只能以“重要资源泄露”说明)
拜丽德集团域名shop.belide.cn因为默认配置不当,导致允许列目录和文件。
其中存在一个web service目录,列出该集团所使用的大部分(甚至是所有?)的web service服务,依据这些web service可以获取该集团的所有门店信息甚至是POS机的用户信息等。
漏洞证明:
以某个POS终端web service服务的用户信息为例(已隐藏部分信息):
所有web service服务(太恐怖了!).......
修复方案:
1、不允许服务器列目录
2、禁止搜索引擎访问该服务器
版权声明:转载请注明来源 horseluke@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝