某某教育教師網站洩漏相關敏感訊息 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2016-00180
  • Vendor: 陳以德Yiter的網頁
  • Title: 某某教育教師網站洩漏相關敏感訊息
  • Introduction: 並未把相關敏感訊息頁面移除

處理狀態

目前狀態

公開
Last Update : 2016/09/27
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2016/08/17 14:33:54 : 新提交 (由 aaa 更新此狀態)
  • 2016/08/17 23:17:08 : 新提交 (由 aaa 更新此狀態)
  • 2016/08/17 23:18:42 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/08/21 23:07:11 : 內部作業 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/08/21 23:07:22 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/09/20 00:06:14 : 確認已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/09/20 00:17:36 : 確認已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/09/27 23:15:25 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)

詳細資料

  • ZDID:ZD-2016-00180
  • 通報者:honc (aaa)
  • 風險:低
  • 類型:資訊洩漏 (Information Leakage)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://itchen.class.kmu.edu.tw/kmu/book/PHP/www/phpinfo.php

敘述

使用Google dork 就search 到網站並未把相關敏感訊息(phpinfo)頁面刪除,導致若有漏洞皆可查看網頁目錄路徑上傳Shell

解決:移除phpinfo 或更改到別的私密路徑或設權限觀看

擷圖

留言討論

;