[公开漏洞]土豆网敏感信息泄漏（内部数据库配置以及邮箱密码）

土豆网敏感信息泄漏（内部数据库配置以及邮箱密码） 相关厂商： 土豆网 漏洞作者：鸟云厂商 提交时间：2014-06-10 08:34 公开时间：2014-07-25 08:36 漏洞类型：内部绝密信息泄漏 危害等级：高 自评Rank：20 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 安全意识不足 安全意识不足 漏洞详情 披露状态：

2014-06-10：细节已通知厂商并且等待厂商处理中
2014-06-10：厂商已经确认，细节仅向厂商公开
2014-06-20：细节向核心白帽子及相关领域专家公开
2014-06-30：细节向普通白帽子公开
2014-07-10：细节向实习白帽子公开
2014-07-25：细节向公众公开

简要描述：

唉

详细说明：

https://github.com/wujiajun/juzhai-static/blob/e9ede9094a69a38feea6499272034e5078d3f64d/static/build.property.xml

<!-- 发布的服务器参数 -->

<!-- product环境 -->

<property name="product.server" value="192.168.3.197"/>

<property name="product.username" value=""/>

<property name="product.password" value=""/>

<property name="product.port" value="22"/>

<property name="product.user.dir" value="/root"/>

<!-- product机器上的JAVA_HOME路径,必需 -->

<property name="product.javahome" value="/usr/java/jdk1.6.0_20/"/>

<!-- product机器上的tomcat路径 -->

<property name="product.tomcat.dir" value="/usr/local/tomcat/"/>

<property name="product.tomcat.webapps.dir" value="${test.tomcat.dir}/webapps"/>

<!-- product应用的访问地址,用来自动判定是否发布成功 -->

<property name="product.deploy.url" value="http://192.168.3.197:8080/karaoke/index.html"/>



<!-- test环境 -->

<property name="test.server" value="192.168.3.220"/>

<property name="test.username" value="root"/>

<property name="test.password" value="111111"/>

<property name="test.port" value="22"/>

<property name="test.user.dir" value="/root"/>

<!-- test机器上的JAVA_HOME路径,必需 -->

<property name="test.javahome" value="/usr/java/jdk1.6.0_20/"/>

<!-- test机器上的tomcat路径 -->

<property name="test.tomcat.dir" value="/usr/local/tomcat/"/>

<property name="test.tomcat.webapps.dir" value="${test.tomcat.dir}/webapps"/>

<!-- 发布在webapps下的哪个目录 -->

<property name="deploy.dirname" value="karaoke"/>

<!-- test应用的访问地址,用来自动判定是否发布成功 -->

<property name="test.deploy.url" value="http://192.168.3.220:8090/karaoke/index.html"/>



<!-- test out 环境 -->

<property name="test-out.server" value="192.168.3.161"/>

<property name="test-out.username" value="root"/>

<property name="test-out.password" value="111111"/>

<property name="test-out.port" value="22"/>

<property name="test-out.user.dir" value="/root"/>

<!-- test-out机器上的JAVA_HOME路径,必需 -->

<property name="test-out.javahome" value="/usr/java/jdk1.6.0_20/"/>

<!-- test-out机器上的tomcat路径 -->

<property name="test-out.tomcat.dir" value="/usr/local/tomcat/"/>

<property name="test-out.tomcat.webapps.dir" value="${test-out.tomcat.dir}/webapps"/>

<!-- 发布在webapps下的哪个目录 -->

<property name="deploy.dirname" value="karaoke"/>

<!-- test-out应用的访问地址,用来自动判定是否发布成功 -->

<property name="test-out.deploy.url" value="http://192.168.3.161:8080/karaoke/index.html"/>



<!-- 中转ssh服务器参数 -->

<property name="transfer.server" value="10.24.251.101"/>

<property name="transfer.username" value="huangjunjie"/>

<property name="transfer.password" value="fucknima"/>

<property name="transfer.port" value="9090"/>

<!-- 线上服务器参数　-->

    <property name="www1.server" value="wwwcl1"/>

    <property name="www1.username" value="sport"/>

    <property name="www1.password" value="sport"/>

    <property name="www1.port" value="20"/>

    <property name="www1.javahome" value="/usr/java/jdk1.6.0_03"/>

    <property name="www1.user.dir" value="/home/${www1.username}"/>

    <property name="www1.tomcat.dir" value="/home/sport-tomcat/apache-tomcat-6.0.18-cms"/>

    <property name="www1.tomcat.webapps.dir" value="${www1.tomcat.dir}/webapps"/>



    <property name="www2.server" value="wwwcl2"/>

    <property name="www2.username" value="sport"/>

    <property name="www2.password" value="sport"/>

    <property name="www2.port" value="20"/>

    <property name="www2.javahome" value="/usr/java/jdk1.6.0_03"/>

    <property name="www2.user.dir" value="/home/${www2.username}"/>

    <property name="www2.tomcat.dir" value="/home/sport/apache-tomcat-6.0.18-cms"/>

    <property name="www2.tomcat.webapps.dir" value="${www2.tomcat.dir}/webapps"/>



    <!-- wwwrtest服务器参数　-->

    <property name="wwwtest.server" value="online-test2" />

    <property name="wwwtest.username" value="game" />

    <property name="wwwtest.password" value="toodou" />

    <property name="wwwtest.port" value="20" />

    <property name="wwwtest.javahome" value="/usr/java/jdk1.6.0_03" />

    <property name="wwwtest.user.dir" value="/home/${wwwtest.username}" />

    <property name="wwwtest.tomcat.dir" value="${wwwtest.user.dir}/game/apache-tomcat-6.0.18" />

    <property name="wwwtest.tomcat.webapps.dir" value="${wwwtest.tomcat.dir}/webapps" />





<!-- mail server -->

<property name="mailhost" value="smtp.gmail.com"/>

<property name="subject" value="${project.name}测试环境已发布"/>

<property name="mail.user" value="build.ant.tudou"/>

<property name="mail.password" value="admin123"/>

<property name="mailport" value="465"/>

<property name="messagemimetype" value="text/html"/>

<property name="mail.ssl" value="true"/>

<!-- 收件人 -->

<property name="mail.tolist" value="zhzhang@tudou.com,jannocktony@gmail.com"/>

<property name="mail.from" value="zhzhang@tudou.com"/>

<!-- 回复地址 -->

<property name="mail.replyto" value="zhzhang@tudou.com"/>

<!-- 抄送 -->

<property name="cclist" value="zhzhang@tudou.com,bloodwroth@gmail.com"/>

<property name="mail.message" value="${project.name}已发布到TEST,访问地址: ${test.deploy.url}"/>



<!-- flex协议xsd文件的地址 -->

<property name="svn.url" value="svn://server12/zdjt/globe/documents/NetProtocol/ProtocolForJava.xsd"/>

<property name="svn.username" value="morgan"/>

<property name="svn.password" value="SVmorG1N"/>

漏洞证明：

其中内部数据库暂时无验证环境，邮箱证实可以登录（邮箱内也包含敏感数据）

修复方案：

版权声明：转载请注明来源 鸟云厂商@乌云

漏洞回应 厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-06-10 09:10

厂商回复：

赞一个

最新状态：

暂无

0

版权与免责声明：

凡注明稿件来源的内容均为转载稿或由网友用户注册发布，本网转载出于传递更多信息的目的；如转载稿涉及版权问题，请作者联系我们，同时对于用户评论等信息，本网并不意味着赞同其观点或证实其内容的真实性；

本文地址：https://top.cnzzla.com/artinfo/2609.html