当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0135675
漏洞标题:
嗨学网某漏洞导致大量信息泄露(可向5万用户推送消息)
相关厂商:
北京嗨学网教育科技有限公司
漏洞作者:
fuckadmin
提交时间:
2015-08-20 18:08
修复时间:
2015-10-04 18:10
公开时间:
2015-10-04 18:10
漏洞类型:
内部绝密信息泄漏
危害等级:
自评Rank:
20
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-08-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天天都是你们的广告。

详细说明:

https://github.com/24hlighting/toolbox/blob/951feeef8e35f9b2f59ecee9416c4103dbefbe66/notes/%E8%B4%A6%E5%8F%B7%E7%AE%A1%E7%90%86.txt
事情从github泄露开始。

任苹蜻 2015/4/13 14:49:07
svn  jiangqingxin 密码 jiangqingxin!@#
禅道  jiangqingxin 密码 haixue2015
http://renpingqing@dev.highso.com.cn/svn/project/app/Android/
任苹蜻 2015/4/13 14:51:00
http://dev.highso.org/svn/project/public/产品/嗨学二期/
任苹蜻  15:10:06
testin:lxpopo710@163.com 123456789qw
http://liaoliangbin@dev.highso.org/svn/project/public/
密码:liaoliangbin
测试账号18612256065 密码123456
wifi wifi:SSID 是Ministudy,密码是120613ministudy
测试 账号18612256065  123456
友盟账号: huoluanzhixia@sina.com 123456789qw
路径:C:\Users\jqx\AppData\Roaming\npm
test

漏洞证明:

下面进行漏洞证明:
1.svn对外,泄露APP开发源码:

1.jpg


2.还是另一个svn对外,泄露大量内部需求文档、UI设计、开发文档

2.jpg


3.jpg


4.jpg


3.云测

5.jpg


4.友盟

6.jpg


可对5W用户推送APP消息,太可怕了。

7.jpg


5.环信
这个账号密码是从svn里面找到的~

8.jpg


9.jpg


修复方案:

1.开发人员意识太差了
求礼物。

版权声明:转载请注明来源 fuckadmin@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)