搜狐某站数据库报错致敏感信息泄露

漏洞概要

缺陷编号:WooYun-2012-05746

漏洞标题:搜狐某站数据库报错致敏感信息泄露

相关厂商:搜狐

漏洞作者:zeracker

提交时间:2012-04-02 20:37

公开时间:2012-05-17 20:38

漏洞类型:重要敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-02: 细节已通知厂商并且等待厂商处理中
2012-04-02: 厂商已经确认,细节仅向厂商公开
2012-04-12: 细节向核心白帽子及相关领域专家公开
2012-04-22: 细节向普通白帽子公开
2012-05-02: 细节向实习白帽子公开
2012-05-17: 细节向公众公开

简要描述:

搜狐某站数据库报错致敏感信息泄露
新浪,搜狐,亲,你们都是肿么了。
老大,我还是建议批量上图,不然太慢了。卡卡卡。

详细说明:

http://vip.club.sohu.com/wenwang/question/index.phpWarning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '192.168.103.24' (110) 亲地址暴露了喔。in /opt/Sites/vip.club.sohu.com/wenwang/question/include/dsn.php on line 2无法连接到数据库!Warning: mysql_query() expects parameter 2 to be resource, boolean given in /opt/Sites/vip.club.sohu.com/wenwang/question/include/dsn.php on line 14Warning: mysql_fetch_array() expects parameter 1 to be resource, null given in /opt/Sites/vip.club.sohu.com/wenwang/question/include/dsn.php on line 15Warning: mysql_query() expects parameter 2 to be resource, boolean given in /opt/Sites/vip.club.sohu.com/wenwang/question/include/dsn.php on line 27Warning: mysql_num_rows() expects parameter 1 to be resource, null given in /opt/Sites/vip.club.sohu.com/wenwang/question/include/dsn.php on line 28Warning: mysql_query() expects parameter 2 to be resource, boolean given in /opt/Sites/vip.club.sohu.com/wenwang/question/index.php on line 31Warning: mysql_num_rows() expects parameter 1 to be resource, null given in /opt/Sites/vip.club.sohu.com/wenwang/question/index.php on line 32Warning: mysql_query() expects parameter 2 to be resource, boolean given in /opt/Sites/vip.club.sohu.com/wenwang/question/index.php on line 128

漏洞证明:

修复方案:

你们都懂的===》QQ2036234继续关注。

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-04-02 21:32

厂商回复:

3q3q

最新状态:

暂无

评价

  1. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    存货很多啊。。

  2. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    刚有洞主联系我聊天,然后随手挖了几个。

  3. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @搜狐 你们效率真高哦。

  4. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @搜狐 早知道自评多加2分。排我前面2位都是240分,我239.悲剧。

  5. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    真速度。。。