漏洞标题 上海东方汇荣商业文化公司多系统指令执行漏洞/涉及客户和商家信息/包括手机号码/身份证号码/银行卡号码/邮箱/家庭住址等。 相关制造商 Occpay.com 漏洞作者 Z_zz_zzz 提交时间 2016-04-26 10: 34 公共时间 2016-06-17 18: 20 漏洞类型 系统/服务补丁不及时 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 远程命令执行 漏洞详细信息 只检查了少量数据，证明漏洞存在，没有拖动库 上海东方汇荣商业文化公司的三台服务器中存在J * A weblogic反序列化漏洞。服务器如下。 首先看东方宝的网站 连接到服务器 连接到数据库 用户信息，3800 + 用户信息包括用户/密码/电话号码/身份证号码/ 用户的密码字段没有盐渍，只需查找用户信息即可登录并查看 查看绑定的银行卡号码，1300+ 再看一下商家管理系统。 连接到服务器 这是一条ftp消息 登录数据库 查看商业信息，45 很多地方-.- 查看用户信息，31 密码也没有添加，请查看登录信息 最后，看一下sso网站。 连接到服务器 漏洞证明： 查看详细说明 修理计划： 补丁 可以参考： 修复weblogic的J * A反序列化漏洞的各种方法 http://drops.wooyun.org/web/13470 如何控制打开HTTPS服务的weblogic服务器 http://drops.wooyun.org/web/13681 版权声明：请注明出处z_zz_zzz @乌云