广州大都市白领相亲网站上传绕过可导致10多万个人信息泄露 | wooyun-2015-0137659 | WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0137659

漏洞标题：

广州大都市白领相亲网站上传绕过可导致10多万个人信息泄露

相关厂商：

广州大都市相亲网站

漏洞作者：

迪南

提交时间：

2015-08-28 18:21

修复时间：

2015-10-12 18:22

公开时间：

2015-10-12 18:22

漏洞类型：

未授权访问/权限绕过

危害等级：

高

自评Rank：

20

漏洞状态：

未联系到厂商或者厂商积极忽略

漏洞来源：

http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：

无

分享漏洞：

>

漏洞详情

披露状态：

2015-08-28：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-10-12：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

上传绕过，数据库10多万条个人信息泄露

详细说明：

对网站目录扫描，发现可上传位置
http://www.loveindds.com/asp/upfile.asp
默认上传目录为/Photos，尝试上传到/asp目录下成功
用burpsuite上传抓包，采用00截断的方式上传成功，得到一句话

发现某目录下已经挂马一片

数据库文件

里面10多万人详细个人信息

漏洞证明：

如上

修复方案：

过滤还是怎样，自己看着来

版权声明：转载请注明来源迪南@乌云

>

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)