广东某支付机构主站GetShell(涉及各类金融、支付业务)

http://**.**.**.**/公司遍布全国二十多个省市，银行卡收单业务现已扩展到全国26个省市，服务商户全国超过80000家；维护终端总量全国15万台。深圳银盛金融集团起步于2002年，经过12年的快速发展，现有几十家全资或控股、参股公司。目前已拥有各类商户逾15万。业务涵盖软件研发、互联网金融、电信增值、电子商务、小额贷款、融资担保、融资租赁、商旅服务等领域，业务遍及中国、新加坡、香港、台湾等国家和地区。发展历程2014-02：深圳银盛金融集团及第三方支付产业基地获深圳市2014年重大项目证书。2013-02：深圳银盛金融集团及第三方支付产业基地获深圳市2013年重大项目证书并列入十二五重大项目计划。2013-06：银盛科技获龙华新区“民营企业50强”和“服务业50强”。2012-02：正式实施集团架构搭建，成立深圳银盛金融集团。2011-05：深圳银盛电子支付科技有限公司成为第一批获得中国人民银行颁发第三方支付牌照的27家机构之一，并成为中国支付清算协会第一届理事单位。2009-07：银盛电子支付科技有限公司斥资1亿元投资成立深圳银盛电子支付科技有限公司。2007：深圳市银盛小额贷款有限公司和深圳市银盛融资担保有限公司成立。2002-06：深圳市银盛科技开发有限公司正式成立。

JDK+TOMCAT+ORACLEApacheTomcat/7.0.42问题处在TOMCAT上

用户：tomcat密码：tomcat配置不严直接访问通过打包war包上传恶意脚本获得webshell，成功入侵，内网泄漏数据库泄漏因涉及大面积商业、银行业、金融业问题，数据库未查询任何一条数据，测试到此为止，望加固安全方面的问题

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-12-3116:07

厂商回复：

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据：高
攻击成本：低
造成影响：高
综合评级为：高，rank：15
正在联系相关网站管理单位处置。

最新状态：

暂无

1. 2010-01-01 00:00 风之传说 白帽子 | Rank:128 漏洞数:13)

   主站getshell。。来围观。

2. 2010-01-01 00:00 袋鼠妈妈 白帽子 | Rank:346 漏洞数:28)

   没人关注？不科学~