携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)

漏洞概要

缺陷编号:WooYun-2014-054298

漏洞标题:携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)

相关厂商:携程旅行网

漏洞作者:猪猪侠

提交时间:2014-03-22 17:28

公开时间:2014-09-26 12:38

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-03-22: 细节已通知厂商并且等待厂商处理中
2014-03-23: 厂商已经确认,细节仅向厂商公开
2014-04-02: 细节向核心白帽子及相关领域专家公开
2014-04-12: 细节向普通白帽子公开
2014-04-22: 细节向实习白帽子公开
2014-09-26: 细节向公众公开

简要描述:

发布时候存留下来的代码包。

详细说明:

#1源码可下载http://waptest.ctrip.com/market/m.ctrip.com.market.ziphttp://waptest.ctrip.com/passupdate/passupdate.rar

漏洞证明:

web.config

修复方案:

#1删除发布时候存留下来的代码包

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-23 02:57

厂商回复:

携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    发现猪猪侠是哪里有src搞哪里啊!

  2. 2010-01-01 00:00 Coffee 白帽子 | Rank:130 漏洞数:9)

    前排占座

  3. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    发现猪猪侠是哪里有src搞哪里啊!

  4. 2010-01-01 00:00 doosit 白帽子 | Rank:16 漏洞数:3)

    法克。。。
    敢不敢不要这么猛。。。。

  5. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    ..

  6. 2010-01-01 00:00 孤独雪狼 白帽子 | Rank:240 漏洞数:38)

    手握携程某接口路过 关注下

  7. 2010-01-01 00:00 良木 白帽子 | Rank:1 漏洞数:1)

    不应该啊,按照惯例应该是先通知厂商,待确认、修复后才向公众批漏漏洞啊

  8. 2010-01-01 00:00 Nanka 白帽子 | Rank:10 漏洞数:1)

    你为何这么屌

  9. 2010-01-01 00:00 哟比 白帽子 | Rank:10 漏洞数:1)

    这个漏洞火了 你为何这么吊 你爸妈造吗?

  10. 2010-01-01 00:00 Fiend 白帽子 | Rank:42 漏洞数:3)

    我的信息被曝了呀,

  11. 2010-01-01 00:00 Fiend 白帽子 | Rank:42 漏洞数:3)

    数据库在哪里下载呀,我要看看我的信息是不是被曝了。嘿嘿

  12. 2010-01-01 00:00 Zym 白帽子 | Rank:17 漏洞数:2)

    此贴要火

  13. 2010-01-01 00:00 evil 白帽子 | Rank:33 漏洞数:3)

    火了

  14. 2010-01-01 00:00 高斯 白帽子 | Rank:14 漏洞数:3)

    这个赞

  15. 2010-01-01 00:00 Zvall 白帽子 | Rank:15 漏洞数:7)

    我爱你 猪猪虾

  16. 2010-01-01 00:00 pandas 白帽子 | Rank:504 漏洞数:39)

    http://waptest.ctrip.com/market/m.ctrip.com.market.zip
    这也能扫出来?翻shell看到的吧 - -!

  17. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    @pandas waptest.ctrip.com m.ctrip.com 代表着同一个站点
    http://m.ctrip.com/market/m.ctrip.com.market.zip 这样也可以下载。