大地数字影院上传不当,22w会员数据泄露

漏洞概要

缺陷编号:WooYun-2013-020232

漏洞标题:大地数字影院上传不当,22w会员数据泄露

相关厂商:大地数字影院

漏洞作者:if、so

提交时间:2013-03-18 12:09

公开时间:2013-05-02 12:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-03-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-05-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

这个漏洞很让人蛋疼,让人想笑,秒杀的一个上传。目测22w会员数据,求票啊求票。。

详细说明:

先来到注册会员处:http://www.dadicinema.com/member/reg/chnreg.shtml

,有个头像上传,果断先传个试试,burp suite再抓个包:

,发现网站是asp.net写的,我就把内容改成了aspx一句话,然后把jpg直接改成aspx试试,上传成功:,

。然后翻了下会员数据,目测感觉竟然有22W之多

。好歹也是影院的主站,上传的地方一点限制都没有,哎~~

漏洞证明:

。求票啊求票。。。

修复方案:

很多办法。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)

评价

  1. 2010-01-01 00:00 YwiSax 白帽子 | Rank:34 漏洞数:3)

    sorry��wuyun
    ==================
    不留后路啊。。。

  2. 2010-01-01 00:00 陈再胜 白帽子 | Rank:101 漏洞数:13)

    好像默默的修复的说~~~然后又忽略公开什么情况?@xsser

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @陈再胜 :(