当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-096886
漏洞标题:
唯品会某APPLE刷榜系统配置不当导致几万+APPLEID和密码泄露
相关厂商:
唯品会
漏洞作者:
路人甲
提交时间:
2015-05-18 20:20
修复时间:
2015-05-19 11:37
公开时间:
2015-05-19 11:37
漏洞类型:
重要敏感信息泄露
危害等级:
自评Rank:
10
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-05-18: 细节已通知厂商并且等待厂商处理中
2015-05-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

唯品会某APPLE刷榜系统配置不当导致几万+APPLEID和密码泄露

详细说明:

http://ns6.vip.com/.svn/entries

python svn.py http://ns6.vip.com /
*****************************************************
* Fetching: http://ns6.vip.com/
* mkdir ns6.vip.com/
* svn://192.168.1.199/project/web/public
* svn://192.168.1.199/project
*****************************************************
['', 'appuser', 'update', 'styles', 'upload_image', 'css', 'jpgraph', 'sql', 'fck', 'ckeditor', 'excelupload', 'images', 'phpExcel', 'js']
appuser
['appuser/']
['updatenewuser.php', 'updatenewusercn.php', 'updateser.php', 'conn.php', 'updatenewuser2.php', 'getuser.php', 'updatenewuser3.php', 'updateuserid.php', 'updatenewuser4.php', 'updatenewuserjp.php', 'updatenewuser2jp.php']
update
['update/']


EXCEL内的账号,单个文件都是上万个!

http://ns6.vip.com/excelupload/20130320060555.xlsx
http://ns6.vip.com/excelupload/20130320061407.xlsx
http://ns6.vip.com/excelupload/20130320062025.xlsx
http://ns6.vip.com/excelupload/20130320062301.xlsx
http://ns6.vip.com/excelupload/20130320062509.xlsx
http://ns6.vip.com/excelupload/20130329054905.xlsx
http://ns6.vip.com/excelupload/20130329062446.xlsx
http://ns6.vip.com/excelupload/20130416124807.xlsx
http://ns6.vip.com/excelupload/20130429104951.xlsx

漏洞证明:

apple_xls.png


apple_id.png


appdata.sql.jpg

修复方案:

删除

版权声明:转载请注明来源 路人甲@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-19 11:37

厂商回复:

对应的服务器并非唯品会服务器也并非唯品会服务。此处存在域名解析错误。故此忽略,感谢对唯品会信息安全的关注!

漏洞Rank:10 (WooYun评价)

最新状态:

暂无