1、漏洞概要

缺陷编号：

漏洞标题： 帝友P2P借贷系统任意文件遍历

相关厂商： 厦门帝网信息科技有限公司

漏洞作者： 霍大然

提交时间： 2013-08-11 18:53

公开时间： 2013-08-16 18:54

漏洞类型： 任意文件遍历/下载

危害等级： 中

自评Rank： 10

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：

漏洞详情

披露状态：

2013-08-11： 细节已通知厂商并且等待厂商处理中 2013-08-16： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

帝友P2P借贷系统任意文件浏览 直接可以读取passwd文件：

漏洞证明：

最后面的两个用户：

dyphp:x:1000:1000::/var/www/dyphp.net:/bin/false dyp2pnet:x:1001:1001::/var/www/:/bin/false

修复方案： 我也不知道 版权声明：转载请注明来源

霍大然@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略 忽略时间：2013-08-11 18:53

厂商回复：

最新状态：

暂无

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

2、漏洞概要

缺陷编号：

漏洞标题： 帝友P2P借贷系统最新版SQL注入 相关厂商： 厦门帝网信息科技有限公司

…… …… 余下全文

网站漏洞整改报告

按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定，全面落实互联网安全保护制度和安全保护技术措施，对网站、信息安全进行了严格漏洞安全检查工作。

本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本校个别网站系统存在比较明显的可利用的安全漏洞，针对已存在漏洞的系统需要进行重点加固。本次检查结果和处理方案如下:

通过本次网站安全检查，发现使用学校统一的站群做的网站都没有问题，发现问题的都是各部门自建的网站，以后要加强安全管理宣传，自建网站逐步过渡到统一的站群管理系统以方便安全管理。进一步规范管理，加强检查。不断完善细化信息公开内容，增加发布信息量，提高数据的及时性、准确性，增强服务意识，推动各项工作健康有序发展。

…… …… 余下全文

制度漏洞评估分析报告

制度漏洞评估分析报告

根据《国土资源系统开展反腐倡廉制度建设年活动实施方案》的通知要求，我局对查找出的权力关键点、权力运行的风险点及制度漏洞，开展评估分析工作，现将有关情况汇报如下：

一、以工作重点领域为依托，查找权力的关键点、权力运行的风险点

我局围绕《国土资源系统反腐倡廉制度建设年活动实施方案》的要求，通过多种形式、多种渠道、广泛征求机关内部、人大代表、服务对象等方面对我单位工作重点领域的建议和意见，并进行梳理，主要是在用人权、审批（预审）权、处罚权、监督权等方面腐败现象和不正之风易发多发，主要表现在：

1、领导岗位'三重一大'即重大事项决策、重要人事任免、重大项目安排和大额资金使用及分管工作等方面存在的廉政和履职风险及问题，产生权力的关键点；

2、用人机制不够健全，工作岗位缺乏流动性，重要岗位长期由同一人任职，极易造成各种问题的发生，产生权力的关键点；

3、利用土地利用总体规划调整，为用地单位将土地调整为其期望状态，产生权力运行风险点；

4、土地审批（预审）过程中，从中捞取不义之财，产生权力运行风险点；

5、是用地单位不按规定缴纳相关费用，不履行追缴义务，造成国有资产流失，产生权力运行风险点；

6、是土地执法环节中，在测量违法用地面积上，随意减少违法用地面积，产生权力运行风险点；

7、是违法用地处罚自由裁量权的行使，随意性大，产生权力运行风险点；

8、征地补偿环节中，对补偿费的发放监督不力，产生权力运行风险点。

二、统筹安排，查找权力运行制度漏洞

权力运行制度漏洞查找坚持清理与审查相结合。对反腐倡廉23项制度进行了全面清理和审查，重点围绕'两权'运行和领导干部廉洁从政相关制度进行清理审查，按照'分权制衡、监督制约、公开透明'，提出'立、改、废'意见，对不适应工作需要的制度进行修订和完善，对过于原则、不便操作的进一步细化，下一步将对《**区国土资源局重大事项民主决策制度》、《**区国土资源局集体会审制度》、、《**区国土资源局会议、

…… …… 余下全文

触目惊心：2015十大数据泄密事件报告

20xx年,是数据安全事故频发年，也是数据安全防护技术高速发展的一年。回顾整个2015，产业信息化、数字化、网络化进程加速，互联网+已然成为一种不可逆的趋势，互联网、云计算、大数据带来更新式革命，然而新趋势下的数据安全状况变得越发严峻。Verizon最新发布的《2015数据泄露调查报告》显示，500强企业中超半数曾遭受过黑客攻击，来自中国的数据安全问题更加触目惊心，福布斯上榜的中国企业中，大多数企业都曾经不同程度遭受过攻击或出现数据泄露，特别是一些掌握大量民众个人信息的通信运营商及金融领域。明朝万达梳理了2015十大最具影响力的数据泄密事件，以此警示各企事业单位关注数据安全防护，保护其系统免受或降低泄密风险。

1. 十大酒店泄露大量房客开房信息

2月11日，据漏洞盒子白帽子提交的报告显示，知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪(丽思卡尔顿酒店 等)、喜达屋(喜来登、艾美酒店等)、洲际(假日酒店等)网站存在高危漏洞——房客开房信息大量泄露，一览无余，黑客可轻松获取到千万级的酒店顾客的订单信息，包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。

2. 汇丰发生史上最大规模银行泄密

2月12日，汇丰银行大量秘密银行账户文件被曝光，显示其瑞士分支帮助富有客户逃税，隐瞒数百万美元资产，提取难以追踪的现金，并向客户提供如何在本国避税的建议等。这些文件覆盖的时间为20xx年至20xx年，涉及约3万个账户，这些账户总计持有约1200亿美元资产，堪称史上最大规模银行泄密。 3.多省社保信息遭泄露数千万个人隐私泄密

4月22日消息，近日大量社保系统相关漏洞出现在补天漏洞响应平台，网站信息显示深圳、上海、河北、河南、山西、安徽等省市卫生和社保系统出现大量高危漏洞。数据显示，围绕社保、公务员等信息系统的漏洞超过30个，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

…… …… 余下全文

乌云的“暧昧地带”

来源：虎嗅网 2014-03-24 18:10

20xx年3月23日晚6点，乌云漏洞平台（乌云网）曝出携程安全支付服务器接口存在调试功能，可将用户的支付记录保存下来，包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露，引发了社会各界的强烈关注，人民日报、央视网、新浪科技、财经网等媒体争相报道，众说纷纭。

携程日志中存储用户敏感信息无疑是错误和愚蠢的，在舆论将携程推向风头浪尖之时，笔者对乌云网产生了强烈的好奇。翻看乌云网的漏洞爆料历史记录，令人震惊：

20xx年10月10日，如家等酒店开房信息泄露；

11月20日，腾讯7000万QQ群用户数据被指泄露；

11月26日，360出现任意用户修改密码漏洞；

20xx年2月17日支付宝/余额宝任意登录漏洞，网民账号面临风险； 20xx年2月26日，微信敏感信息泄露漏洞，造成海量用户视频泄露，影响堪比XX门??

一系列泄密事件让乌云网，让这个原本默默无闻的网站声名鹊起。人们在质疑相关企业不负责任表现的同时，也对乌云网充满疑问：这究竟是怎样的一个平台，为何能连环曝出各大公司的漏洞？乌云网背后，究竟有多少秘密？

乌云背后的“月之眼”

乌云网（WooYun）成立于20xx年5月，主要创始人为百度前安全专家方小顿——这位19xx年出生的国内知名黑客“剑心”，20xx年2月和李彦宏一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为“自由平等的”的漏洞报告平台。

在百度百科中，乌云是这样描述自己的：一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。

尽管乌云将自己的形象打造为公益的第三方组织，以获取白帽子与社会的信任。但经过查证，乌云网并非一个公立第三方机构，而是纯粹的民营公司，其收入来源于其漏洞披露规则。

…… …… 余下全文

乌云方小顿：团队已有5000人 白帽子黑客

的挣扎

来源:新浪科技 发布时间：2014-4-10

亿邦动力网整理：

黑客一词源自英文hacker，最初曾指热心于计算机技术、水平高超的电脑玩家，尤其是程序设计人员，但随着互联网行业的逐渐成熟，黑客的属性也分为白帽子和黑帽子。

方小顿就是白帽黑客中的佼佼者。他是国内著名安全组织80sec的成员。也曾经是百度安全专家，负责对黑客袭击百度网站的抵御工作，曾发现多个知名底层和脚本安全漏洞。

随后他又创立了网络漏洞报告平台——乌云，作为一个厂商和安全研究者之间的安全问题反馈平台，乌云提供给互联网公司很多漏洞及风险报告，帮助他们防患于未然。随着乌云影响力的提高，旗下白帽子团队也达到了近5000人，其中核心黑客超过100人。

亿邦动力网——电子商务专业媒体

黑帽子指泛指那些专门利用电脑网络搞破坏或恶作剧的黑客，并通过网络漏洞非法牟利，在英文中这些人叫做cracker。而白帽子指对网络技术防御的黑客， 他们可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞，以便系统可以在被其他人(例如黑帽子)利用之前来修补漏洞。

方小顿留着一头长发，看上去颇具有文艺青年范儿，他对白帽子这个职业有着自己的见解。在他看来，白帽子最难的就是坚持自己的理想，不计眼前的利益诱惑，从整个行业着眼为网络安全贡献自己的力量。在他眼里，白帽子是一群挣扎在理想和现实边缘的黑客。

“白帽子”是如何炼成的

20xx年，15岁的方小顿便考上了哈尔滨理工大学的化学专业，也是在那一年，他开始接触互联网，接触网络安全。

方小顿称，由于对化学专业没有太大的兴趣，基本上除去上课、睡觉，大学全部的时间都扑在网络安全研究上。从那时开始，方小顿经常给国内顶尖网络安全杂志投稿，稿件多被录用。在大学期间还受聘给某网络安全培训机构的学生授课。

亿邦动力网——电子商务专业媒体

…… …… 余下全文

大量12306用户数据遭泄露 含身份证号及密码

20xx年12月25日 13:54 21CN网

乌云漏洞报告截图

乌云漏洞报告截图

12月25日消息，漏洞报告平台乌云漏洞今发布报告称，大量包括用户帐号、明文密码、身份证和邮箱在内的12306用户数据在互联网上疯狂传播。

乌云在报告中透露，目前泄露的数据包括，包括登录账号、密码、信用卡信息、购买记录、常用联系人的电话及身份证号。乌云还补充道，数据已在传播售卖，但目前无法确认是12306官方还是第三方抢票平台泄漏，希望官方立即接入调查并且通知已泄密用户修改密码。

12306用户数据泄露 疑由第三方软件流出

中国证券网讯 12月25日，据虎嗅网消息，乌云漏洞报告平台今日报告称，大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知）。

对此，中国铁路客户服务中心回应称，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

中国铁路客户服务中心表示，为保障广大用户的信息安全，请通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止个人身份信息外泄。

以下为铁路客服中心公告：

关于提醒广大旅客使用12306官方网站购票的公告

针对互联网上出现“12306网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。

同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。

中国铁路客户服务中心

…… …… 余下全文