漏洞标题 阿里巴巴集团的内部运营和维护敏感信息泄露 相关制造商 阿里巴巴 漏洞作者 过路人 提交时间 2016-05-03 15: 45 公共时间 2016-06-22 13: 40 漏洞类型 内部绝密信息泄露 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 内部敏感信息泄露 漏洞详细信息 ＃0蜘蛛研究，根据关键字规则，点击蜘蛛搜索引擎的缓存记录 支付宝+服务器的操作维护人员使服务器文件的命令规则过于明显。 ＃1泄漏位置 1.http://**。**。** /下载/ CityShanghai CountryChina 组织中国电信上海 ISP中国电信上海 最后更新2016-04-10T00: 30: 40.775066 ASNAS4812 端口80服务80 tcp http 服务器: Tengine 日期:太阳，2016年4月10日00: 30: 13 GMT 内容类型: text/html 内容长度: 573 连接:关闭 ＃2文件说明 所有基准文件都是生产服务器上的标准文件。通过进一步的咨询，authorized_keys与生产服务器一致。 Alipay_mysql_server /root/.ssh/authorized_keys ***** hYAEVvFIYeDH3FhFDW1QRZ9BLioisuol + ThIUnwWSl4n/DE + DJB ***** ＃3还泄漏了大量的密钥+公钥 ***** U/DIST/ID ***** *****吨/id_rs ***** ***** DIST/ID ***** ***** R/alipa ***** *****版本/ID ***** *****尔斯/键/***** ***** awfiles /键***** ***** wfiles /键/***** ***** DIST/id_r ***** *****/DIST/id_r ***** *****吨/DIST/I ***** *****尔斯/键/***** ***** ES /按键/有***** *****尔斯/键/***** ***** ES /键/地图***** *****文件/按键/小时***** *****文件/按键/小时***** *****文件/键/米***** *****文件/键/米***** ***** wfiles /键/***** *****尔斯/按键/有***** ***** wfiles /键/***** *****尔斯/键/地图***** ***** LY/RES /公顷***** ***** aily/RES ***** ***** ER/RES/***** ***** UMP/RES /小时***** ***** _测试/重新***** ***** LES/ADMI ***** *****尔斯/ADMI ***** ***** ES /按键/有***** ***** ES /键/地图***** *****尔斯/按键/有***** ***** wfiles /键/***** 漏洞证明： ＃4 OS的打包图像，如何安装和配置ali软件包应该在里面 索引/download/os / ./ AliOS5U7-x86-64.tgz 23-Dec-2015 06: 11 688220922 AliOS6U2-x86-64.tgz 23-Dec-2015 06: 11 699576962 /download/ngis/vm_ostar /的索引 ./ AliOS5U7-x86-64-vm.md5 15-Jan-2015 09: 11 95 AliOS5U7-x86-64-vm.tgz 15-Jan-2015 09: 12 679359065 AliOS6U2-x86-64-vm.md5 15-Jan-2015 09: 11 95 AliOS6U2-x86-64-vm.tgz 15-Jan-2015 09: 13 680911598 /download/ngis/script/vm /的索引 ./ Vm_create_v2_real.sh 08-May-2015 08: 00 34900 修理计划： 删除敏感泄漏 版权声明：请注明出处。居民A @乌云