漏洞标题 亚太财产保险配置信息错误导致数据库配置文件泄露 相关制造商 亚太财产保险 漏洞作者 乳头 提交时间 2016-04-24 21: 30 公共时间 2016-06-11 11: 30 漏洞类型 应用配置错误 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 错误消息未被阻止 漏洞详细信息 http://**。**。**。** /％C0％AE/WEB-INF/webContext.xml - ＆GT; ＆lt; bean id='BUSINESS_FACADE'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆lt; property name='serviceUrl'value='http://localhost: 8002/businessFacade.service'/＆gt; ＆lt; property name='serviceInterface'value='org.javatech.ebf.app.facade.BusinessFacade'/＆gt; ＆LT; /豆腐＆GT; ＆lt; bean id='coreInterFaceFacade'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆lt; property name='serviceUrl'＆gt; ＆LT;值GT;http://localhost: 9001/coreInterFace.action＆lt;/value＆gt; ＆LT; /性＆gt; ＆lt; property name='serviceInterface'＆gt; ＆LT;值GT; org.javatech.ebf.app.facade.BusinessFacade＆LT; /值GT; ＆LT; /性＆gt; ＆LT; /豆腐＆GT; ＆lt; bean id='realCoreInterFaceFacade'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆lt; property name='serviceUrl'＆gt; ＆LT;值GT; **。**。**。**: 7002/transactionProcess.service ＆LT; /值GT; ＆LT; /性＆gt; ＆lt; property name='serviceInterface'＆gt; ＆LT;值GT; com.chinainsurance.application.extbusiness.service.facade.TransactionProcess ＆LT; /值GT; ＆LT; /性＆gt; 从对等方接收数据时失败 ＆lt; property name='serviceUrl'＆gt; ＆LT;值GT; **。**。**。**: 6009/transactionProcess.service ＆LT; /值GT; ＆LT; /性＆gt; ＆lt; property name='serviceInterface'＆gt; ＆LT;值GT; com.chinainsurance.application.extbusiness.service.facade.TransactionProcess 漏洞证明： http://**。**。**。** /％C0％AE/WEB-INF/webContext.xml - ＆GT; ＆lt; bean id='BUSINESS_FACADE'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆lt; property name='serviceUrl'value='http://localhost: 8002/businessFacade.service'/＆gt; ＆lt; property name='serviceInterface'value='org.javatech.ebf.app.facade.BusinessFacade'/＆gt; ＆LT; /豆腐＆GT; ＆lt; bean id='coreInterFaceFacade'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆lt; property name='serviceUrl'＆gt; ＆LT;值GT;http://localhost: 9001/coreInterFace.action＆lt;/value＆gt; ＆LT; /性＆gt; ＆lt; property name='serviceInterface'＆gt; ＆LT;值GT; org.javatech.ebf.app.facade.BusinessFacade＆LT; /值GT; ＆LT; /性＆gt; ＆LT; /豆腐＆GT; ＆lt; bean id='realCoreInterFaceFacade'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆lt; property name='serviceUrl'＆gt; ＆LT;值GT; **。**。**。**: 7002/transactionProcess.service ＆LT; /值GT; ＆LT; /性＆gt; ＆lt; property name='serviceInterface'＆gt; ＆LT;值GT; com.chinainsurance.application.extbusiness.service.facade.TransactionProcess ＆LT; /值GT; ＆LT; /性＆gt; ＆LT; /豆腐＆GT; ＆lt; bean id='coreInterFaceFacade_claim'class='org.springframework.remoting.httpinvoker.HttpInvokerProxyFactoryBean'＆gt; ＆LT;！ - 测试环境配置为**。**。**。**: 8011/transactionProcess.service - ＆GT; ＆lt; property name='serviceUrl'＆gt; ＆lt; value＆gt; **。**。**。**: 6005/transactionProcess.service＆lt;/value＆gt; ＆LT; /性＆gt; ＆lt; property name='serviceInterface'＆gt; ＆LT;值GT; com.chinainsurance.application.extbusiness.service.facade.TransactionProcess ＆LT; /值GT; ＆LT; /性＆gt; ＆LT; /豆腐＆GT; ＆lt;！ - 第三方支付核心财务界面 - ＆gt; 从对等方接收数据时失败