某外企人力资源服务公司服务器沦陷20W用户信息泄露

漏洞概要

缺陷编号:WooYun-2014-087060

漏洞标题:某外企人力资源服务公司服务器沦陷20W用户信息泄露

相关厂商:北京外企人力资源服务有限公司

漏洞作者:爱上平顶山

提交时间:2014-12-23 10:15

公开时间:2015-02-06 10:16

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-12-23: 细节已通知厂商并且等待厂商处理中
2014-12-24: 厂商已经确认,细节仅向厂商公开
2015-01-03: 细节向核心白帽子及相关领域专家公开
2015-01-13: 细节向普通白帽子公开
2015-01-23: 细节向实习白帽子公开
2015-02-06: 细节向公众公开

简要描述:

涉及几百家国内外知名企业企业,
知名企业的第三方服务商安全有待关注。

详细说明:

fesco.com.cn一、注入:

注入

不多说 不深入。二、任意上传

提问 上传图片直接aspx文件 即可

拿下服务器

所以网站源码

简单查询下前7K+的用户: 谁家的自己看邮箱后缀认领

一共近20W用户信息,涉及几百家国内外知名企业

漏洞证明:

···

修复方案:

改~问题很多

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-12-24 10:03

厂商回复:

感谢您的反馈,我方已安排人员进行处理,谢谢。

最新状态:

2014-12-24:经过紧急修复,目前所提出的漏洞皆已修复。非常感谢 @爱上平顶山 的及时发现,这也为我们敲响了警钟,在接下来的工作中,我们会严格加强管理。

评价

  1. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    CCTV看这里!

  2. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    CCTV看这里!

  3. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @px1624 @泳少 ........

  4. 2010-01-01 00:00 摩西 白帽子 | Rank:0 漏洞数:0)

    CCAV看这里!

  5. 2010-01-01 00:00 Andy_ 白帽子 | Rank:22 漏洞数:2)

    我就在IBM开开有木有我。。

  6. 2010-01-01 00:00 Woodee 白帽子 | Rank:0 漏洞数:0)

    我表弟也在ORACLE开开有木有他

  7. 2010-01-01 00:00 龍 、 白帽子 | Rank:268 漏洞数:70)

    CCTV看这里!

  8. 2010-01-01 00:00 路西法 白帽子 | Rank:0 漏洞数:0)

    CCTV看这里!

  9. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @摩西 @Woodee @龍 、 @路西法 .............CCAV

  10. 2010-01-01 00:00 寒江不钓 白帽子 | Rank:62 漏洞数:6)

    我操,警察叔叔,就是他

  11. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    fesco...

  12. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @疯狗 @寒江不钓 是的 就是他~

  13. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    @爱上平顶山 这个影响面积确实很大。。尿了

  14. 2010-01-01 00:00 追寻 白帽子 | Rank:107 漏洞数:10)

    开门 快递到了

  15. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @疯狗 eee~

  16. 2010-01-01 00:00 追寻 白帽子 | Rank:107 漏洞数:10)

    @爱上平顶山 带上手铐吧 骚年

  17. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @追寻 O(∩_∩)O~

  18. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @龍 、 CCAV.......

  19. 2010-01-01 00:00 http://www.wooyun.org/corps/拉手网 白帽子 | Rank:0 漏洞数:0)

    fasco ?

  20. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @拉手网 你猜

  21. 2010-01-01 00:00 Power 白帽子 | Rank:29 漏洞数:7)

    fesco

  22. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @Power .......

  23. 2010-01-01 00:00 团长丶Joe 白帽子 | Rank:8 漏洞数:1)

    新人求带

  24. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @团长丶Joe 一起搞基啊

  25. 2010-01-01 00:00 Neeke 白帽子 | Rank:86 漏洞数:8)

    我屮艸芔茻!

  26. 2010-01-01 00:00 huc-ray 白帽子 | Rank:13 漏洞数:1)

    ccav拍照了,擦

  27. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @huc-ray @Neeke ................

  28. 2010-01-01 00:00 卡卡 白帽子 | Rank:434 漏洞数:38)

    你爱上的是平顶山,而我爱上的是你

  29. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @卡卡 ...........

  30. 2010-01-01 00:00 ki11y0u 白帽子 | Rank:72 漏洞数:7)

    求带飞

  31. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @ki11y0u 飞不起来

  32. 2010-01-01 00:00 ki11y0u 白帽子 | Rank:72 漏洞数:7)

    @爱上平顶山 老乡啊,求搞基。

  33. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @ki11y0u .........几几

  34. 2010-01-01 00:00 追寻 白帽子 | Rank:107 漏洞数:10)

    @爱上平顶山 为何你还在这里聊天 警察叔叔不是说撸了站就要带手铐么

  35. 2010-01-01 00:00 ki11y0u 白帽子 | Rank:72 漏洞数:7)

    @爱上平顶山 什么几几。。。。 - -

  36. 2010-01-01 00:00 http://www.wooyun.org/corps/北京外企人力资源服务有限公司 白帽子 | Rank:0 漏洞数:0)

    @爱上平顶山 同学可否私信个联系地址,我们有小礼物奉上,感谢。

  • N/A