记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

美丽说某处信息泄露(20W用户信息/部分订单)

2016-07-02 00:35

首先这个信息是在github发现的数据库连接信息。





IP是阿里巴巴数据中心的,青岛,看样子应该不是你们的数据库,测试应该也不是,某个开发拿出来的数据吧



数据库.png





https://github.com/piaoxj/bankchannel/blob/efaebdebddbbb5f2be340a9852619cd9ea8a7ebf/pay-channel-access/src/main/profiles/dev/config/jdbc.properties







jdbc.slave.url=jdbc:mysql://115.28.14.202:3306/pay_channel2?useUnicode=true&characterEncoding=UTF-8

jdbc.slave.username=root

jdbc.slave.password=PUB199313





密码都是生日



大部分的库都是pay相关

整体.png









root.png





美丽说.png





美丽说2.png



美丽说3.png





确定是美丽说的信息



美丽说邮箱用户.png





内部邮箱



密码修改历史.png





密码修改历史



用户订单信息.png



用户订单信息



用户信息20W.png



20W用户信息,身份证打码了





其他就是相关美丽说支付数据库信息,银行信息,支付机构等等。

漏洞证明:

用户信息20W.png

修复方案:


知识来源: www.wooyun.org/bugs/wooyun-2016-0209721

阅读:101492 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“美丽说某处信息泄露(20W用户信息/部分订单)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云