记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

我的南京漏洞可导致本地几十万用户数据泄露(如公积金/养老金信息等)

2015-06-13 03:05

我的南京这个软件可以用查询, 公积金,和养老保险等数据, 虽然服务器返回数据加密了,但是服务

器的安全没有做到位, 还在使用低版本的struts2, 导致漏洞触发, 泄露用户数据, 设计身份证和手机, 而且都是南京本地的数据,很容易造成更大的危害。

漏洞证明:

第一个图 是后台

622508eed2c935d73bcf86e1d3422fce.png





第二个图 是工具漏洞图

def626d522fd5d96c91ff3b7a1c8fd84.png





第三个图, 是手动写了一个oracle的jsp马, 密码居然还是明文

e7964dff062f51afb4035fb62a162a70.png

修复方案:

升级strtus2库

open.jsp 这个是数据库马

/jsp/moc/one.jsp 这是小马

知识来源: www.wooyun.org/bugs/wooyun-2015-0110893

阅读:88140 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“我的南京漏洞可导致本地几十万用户数据泄露(如公积金/养老金信息等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云