神刀安全网

漏洞标题: 风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞详情

披露状态:

2016-04-17: 细节已通知厂商并且等待厂商处理中
2016-04-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

风云直播&章鱼TV

详细说明:

由于开发人员的不当,将gitlab的源码库中的各种项目源码设为public权限,让任何人都能拿到源码.

从以下图中得知是属于风云直播的业务代码.

git库 http://git.corp.ppweb.com.cn/public

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

各种配置文件 ,众多数据库

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞证明:

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

漏洞标题:  风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

修复方案:

建议Gitlab不要暴露在公网,如果一定要在公网,严格控制public 的项目权限

版权声明:转载请注明来源 Q1NG@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 风云直播/章鱼TV某处敏感信息泄露(众多源码/数据库/配置文件)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址