某通信基站申报系统敏感信息泄露
文章来源:EDI安全
01
漏洞标题
某通信基站申报系统敏感信息泄露
02
漏洞类型
信息泄露
03
漏洞等级
低危
04
漏洞地址
http://xxx.xxx.xxx.xxxx/eas-web/main/doorshow.do
05
漏洞详情
0x01
某通信基站申报系统
网上办事-文件下载处页面直接报错,泄露后台SQL语句,中间件版本号,真实物理路径等敏感信息。
http://xxx.xxx.xxx.xxxx/eas-web/main/approveItmDetail.do?approveName=%E5%85%AC%E4%BC%97%E7%A7%BB%E5%8A%A8%E9%80%9A%E4%BF%A1%E5%9F%BA%E7%AB%99%E5%8F%98%E6%9B%B4
0x02
点击下载文件,页面直接出错,泄露敏感信息
http://xxx.xxx.xxx.xxxx/FileServer//download.do?id=5069
06
漏洞危害
07
建议措施
定义统一的出错页面,不泄露任何敏感信息。
PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。