不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

某通信基站申报系统敏感信息泄露

01

漏洞标题

某通信基站申报系统敏感信息泄露

02

漏洞类型

信息泄露

03

漏洞等级

低危

04

漏洞地址

http://xxx.xxx.xxx.xxxx/eas-web/main/doorshow.do

05

漏洞详情

0x01

某通信基站申报系统

网上办事-文件下载处页面直接报错,泄露后台SQL语句,中间件版本号,真实物理路径等敏感信息。

http://xxx.xxx.xxx.xxxx/eas-web/main/approveItmDetail.do?approveName=%E5%85%AC%E4%BC%97%E7%A7%BB%E5%8A%A8%E9%80%9A%E4%BF%A1%E5%9F%BA%E7%AB%99%E5%8F%98%E6%9B%B4

0x02

点击下载文件,页面直接出错,泄露敏感信息

http://xxx.xxx.xxx.xxxx/FileServer//download.do?id=5069

06

漏洞危害

  • 泄露网站的中间件和中间件版本,攻击者可以通过已知的漏洞进行定向攻击。
  • 泄露后台执行的SQL语句,对于SQL注入攻击提供了条件。
  • 还有后台的真实路径和用户root。
07

建议措施

定义统一的出错页面,不泄露任何敏感信息。

转自:EDI安全

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » 某通信基站申报系统敏感信息泄露

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏