神刀安全网

漏洞标题: 招商银行某站未授权访问与弱口令安全隐患

漏洞详情

披露状态:

2016-04-11: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

招商银行三个漏洞

详细说明:

140.206.58.111未授权访问导致源码数据库信息泄露,并可通过jenkin执行系统命令(未测试是否可外连,icmp未被禁止)

通过140.206.58.111发现一个项目并部署在coupon.o2o.cmbchina.com上,通过jenkin发现后台管理员帐户密码

通过端口扫描180.169.45.105,发现phabricator管理员用户存在弱口令,可查看APP掌上生活的部分源码并修改

漏洞证明:

1、jenkin未授权访问

code 区域
http://140.206.58.111/script

漏洞标题:  招商银行某站未授权访问与弱口令安全隐患

2、jenkin泄露项目源码数据库

code 区域
http://140.206.58.111/job/yummy-master_build/ws/work/yummy-master/yummy-oms/target/yummy-oms

漏洞标题:  招商银行某站未授权访问与弱口令安全隐患

漏洞标题:  招商银行某站未授权访问与弱口令安全隐患

3、通过jenkin泄露的用户在

code 区域
coupon.o2o.cmbchina.com

上成功登录

漏洞标题:  招商银行某站未授权访问与弱口令安全隐患

4、180.169.45.105弱口令导致掌上生活的部分源码泄露

漏洞标题:  招商银行某站未授权访问与弱口令安全隐患

漏洞标题:  招商银行某站未授权访问与弱口令安全隐患

修复方案:

密码密码密码

版权声明:转载请注明来源 白泽@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 招商银行某站未授权访问与弱口令安全隐患

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮