[公开漏洞]土豆网敏感信息泄漏(内部数据库配置以及邮箱密码)

    来源:WooYun 浏览:1287次 时间:2014-07-25
土豆网敏感信息泄漏(内部数据库配置以及邮箱密码) 相关厂商: 土豆网 漏洞作者:鸟云厂商 提交时间:2014-06-10 08:34 公开时间:2014-07-25 08:36 漏洞类型:内部绝密信息泄漏 危害等级:高 自评Rank:20 漏洞状态: 厂商已经确认 漏洞来源:http://www.wooyun.org Tags标签: 安全意识不足 安全意识不足 漏洞详情 披露状态:

2014-06-10:细节已通知厂商并且等待厂商处理中
2014-06-10:厂商已经确认,细节仅向厂商公开
2014-06-20:细节向核心白帽子及相关领域专家公开
2014-06-30:细节向普通白帽子公开
2014-07-10:细节向实习白帽子公开
2014-07-25:细节向公众公开

简要描述:

详细说明:

https://github.com/wujiajun/juzhai-static/blob/e9ede9094a69a38feea6499272034e5078d3f64d/static/build.property.xml

<!-- 发布的服务器参数 -->

<!-- product环境 -->

<property name="product.server" value="192.168.3.197"/>

<property name="product.username" value=""/>

<property name="product.password" value=""/>

<property name="product.port" value="22"/>

<property name="product.user.dir" value="/root"/>

<!-- product机器上的JAVA_HOME路径,必需 -->

<property name="product.javahome" value="/usr/java/jdk1.6.0_20/"/>

<!-- product机器上的tomcat路径 -->

<property name="product.tomcat.dir" value="/usr/local/tomcat/"/>

<property name="product.tomcat.webapps.dir" value="${test.tomcat.dir}/webapps"/>

<!-- product应用的访问地址,用来自动判定是否发布成功 -->

<property name="product.deploy.url" value="http://192.168.3.197:8080/karaoke/index.html"/>



<!-- test环境 -->

<property name="test.server" value="192.168.3.220"/>

<property name="test.username" value="root"/>

<property name="test.password" value="111111"/>

<property name="test.port" value="22"/>

<property name="test.user.dir" value="/root"/>

<!-- test机器上的JAVA_HOME路径,必需 -->

<property name="test.javahome" value="/usr/java/jdk1.6.0_20/"/>

<!-- test机器上的tomcat路径 -->

<property name="test.tomcat.dir" value="/usr/local/tomcat/"/>

<property name="test.tomcat.webapps.dir" value="${test.tomcat.dir}/webapps"/>

<!-- 发布在webapps下的哪个目录 -->

<property name="deploy.dirname" value="karaoke"/>

<!-- test应用的访问地址,用来自动判定是否发布成功 -->

<property name="test.deploy.url" value="http://192.168.3.220:8090/karaoke/index.html"/>



<!-- test out 环境 -->

<property name="test-out.server" value="192.168.3.161"/>

<property name="test-out.username" value="root"/>

<property name="test-out.password" value="111111"/>

<property name="test-out.port" value="22"/>

<property name="test-out.user.dir" value="/root"/>

<!-- test-out机器上的JAVA_HOME路径,必需 -->

<property name="test-out.javahome" value="/usr/java/jdk1.6.0_20/"/>

<!-- test-out机器上的tomcat路径 -->

<property name="test-out.tomcat.dir" value="/usr/local/tomcat/"/>

<property name="test-out.tomcat.webapps.dir" value="${test-out.tomcat.dir}/webapps"/>

<!-- 发布在webapps下的哪个目录 -->

<property name="deploy.dirname" value="karaoke"/>

<!-- test-out应用的访问地址,用来自动判定是否发布成功 -->

<property name="test-out.deploy.url" value="http://192.168.3.161:8080/karaoke/index.html"/>



<!-- 中转ssh服务器参数 -->

<property name="transfer.server" value="10.24.251.101"/>

<property name="transfer.username" value="huangjunjie"/>

<property name="transfer.password" value="fucknima"/>

<property name="transfer.port" value="9090"/>



<!-- 线上服务器参数 -->

    <property name="www1.server" value="wwwcl1"/>

    <property name="www1.username" value="sport"/>

    <property name="www1.password" value="sport"/>

    <property name="www1.port" value="20"/>

    <property name="www1.javahome" value="/usr/java/jdk1.6.0_03"/>

    <property name="www1.user.dir" value="/home/${www1.username}"/>

    <property name="www1.tomcat.dir" value="/home/sport-tomcat/apache-tomcat-6.0.18-cms"/>

    <property name="www1.tomcat.webapps.dir" value="${www1.tomcat.dir}/webapps"/>



    <property name="www2.server" value="wwwcl2"/>

    <property name="www2.username" value="sport"/>

    <property name="www2.password" value="sport"/>

    <property name="www2.port" value="20"/>

    <property name="www2.javahome" value="/usr/java/jdk1.6.0_03"/>

    <property name="www2.user.dir" value="/home/${www2.username}"/>

    <property name="www2.tomcat.dir" value="/home/sport/apache-tomcat-6.0.18-cms"/>

    <property name="www2.tomcat.webapps.dir" value="${www2.tomcat.dir}/webapps"/>



    <!-- wwwrtest服务器参数 -->

    <property name="wwwtest.server" value="online-test2" />

    <property name="wwwtest.username" value="game" />

    <property name="wwwtest.password" value="toodou" />

    <property name="wwwtest.port" value="20" />

    <property name="wwwtest.javahome" value="/usr/java/jdk1.6.0_03" />

    <property name="wwwtest.user.dir" value="/home/${wwwtest.username}" />

    <property name="wwwtest.tomcat.dir" value="${wwwtest.user.dir}/game/apache-tomcat-6.0.18" />

    <property name="wwwtest.tomcat.webapps.dir" value="${wwwtest.tomcat.dir}/webapps" />





<!-- mail server -->

<property name="mailhost" value="smtp.gmail.com"/>

<property name="subject" value="${project.name}测试环境已发布"/>

<property name="mail.user" value="build.ant.tudou"/>

<property name="mail.password" value="admin123"/>

<property name="mailport" value="465"/>

<property name="messagemimetype" value="text/html"/>

<property name="mail.ssl" value="true"/>

<!-- 收件人 -->

<property name="mail.tolist" value="zhzhang@tudou.com,jannocktony@gmail.com"/>

<property name="mail.from" value="zhzhang@tudou.com"/>

<!-- 回复地址 -->

<property name="mail.replyto" value="zhzhang@tudou.com"/>

<!-- 抄送 -->

<property name="cclist" value="zhzhang@tudou.com,bloodwroth@gmail.com"/>

<property name="mail.message" value="${project.name}已发布到TEST,访问地址: ${test.deploy.url}"/>



<!-- flex协议xsd文件的地址 -->

<property name="svn.url" value="svn://server12/zdjt/globe/documents/NetProtocol/ProtocolForJava.xsd"/>

<property name="svn.username" value="morgan"/>

<property name="svn.password" value="SVmorG1N"/>

漏洞证明:

其中内部数据库暂时无验证环境,邮箱证实可以登录(邮箱内也包含敏感数据)

tudoqu.jpg



修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应 厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-06-10 09:10

厂商回复:

赞一个

最新状态:

暂无

上一篇: [公开漏洞]寻医问药任意用户登入漏洞
下一篇: CCleaner V4.16.4763 Pro 中文绿色增强版下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细