校妆网服务器配置不当导致数据库泄露

漏洞概要

缺陷编号:WooYun-2012-06061

漏洞标题:校妆网服务器配置不当导致数据库泄露

相关厂商:校妆网

漏洞作者:路人甲

提交时间:2012-04-15 10:42

公开时间:2012-05-30 10:43

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2012-04-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

校妆网服务器配置不当,能列个目录。然后似乎是管理员备份的数据库就看到了,还有各种配置文件。

详细说明:

校妆网服务器配置不当,能列个目录。然后似乎是管理员备份的数据库就看到了,还有各种配置文件。列目录:http://www.xzhuang.com:80/homehttp://www.xzhuang.com:80/themeshttp://www.xzhuang.com:80/pluginshttp://www.xzhuang.com:80/confighttp://www.xzhuang.com:80/core...

漏洞证明:

就是几个列目录。

不过数据库都出来了。

配置信息也出来了。

修复方案:

不懂。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价