漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-06-17: 细节已通知厂商并且等待厂商处理中
2014-06-17: 厂商已经确认,细节仅向厂商公开
2014-06-27: 细节向核心白帽子及相关领域专家公开
2014-07-07: 细节向普通白帽子公开
2014-07-17: 细节向实习白帽子公开
2014-08-01: 细节向公众公开
简要描述:
0.0
详细说明:
万达电影主站数据库信息泄露
上个漏洞的深入:
http://www.wandafilm.com/WEB-INF/classes/jdbc.properties
##############################################################################
datasource.driverClassName=oracle.jdbc.driver.OracleDriver
datasource.url=jdbc:oracle:thin:@192.***.***.68:1521:ora10g
datasource.username=WD_W****
datasource.password=WD_W****
c3p0.acquireIncrement=5
c3p0.initialPoolSize=2
c3p0.minPoolSize=2
c3p0.maxPoolSize=10
c3p0.maxIdleTime=600
c3p0.idleConnectionTestPeriod=3000
c3p0.maxStatements=6000
c3p0.numHelperThreads=10
##############################################################################
datasource2.driverClassName=oracle.jdbc.driver.OracleDriver
datasource2.url=jdbc:oracle:thin:@192.*.*.68:1521:ora10g
datasource2.username=WAN****
datasource2.password=WAN****
##############################################################################
proxool.driver=oracle.jdbc.driver.OracleDriver
#proxool.driverUrl=jdbc:oracle:thin:wd_we***/wd_w***@10.*.*.167:1521:ora10g
proxool.driverUrl=jdbc:oracle:thin:@(DESCRIPTION =(LOAD_BALANCE=yes)(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.*.6.20)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=wdyx)))
proxool.user=wa****lm
proxool.password=XpgN****ZyFzjF
proxool.alias=wa****lm
proxool.minimumConnectionCount=10
proxool.simultaneous-build-throttle=16
proxool.maximumConnectionCount=80
proxool.prototypeCount=0
proxool.houseKeepingTestSql=select sysdate from dual
proxool.testBeforeUse=false
proxool.trace=true
数据库什么的
http://www.wandafilm.com/WEB-INF/classes/applicationContext.xml
行了 就这样吧 求票。。。
漏洞证明:
如上
修复方案:
设置访问权限
版权声明:转载请注明来源 爱上平顶山@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-06-17 14:41
厂商回复:
感谢“爱上平顶山”同学的关注与贡献!此漏洞确认存在,已敦促业务马上整改。低级错误导致重大漏洞,教训啊!请私信联系选礼物。谢谢!
最新状态:
暂无