某重要业务应用系统涉及到多个业务信息系统正常运行,其中危害到skype用户利益。
详细说明:TOM在线广告管理系统后台地址()目录通过扫描工具暴力破解后得到 等等多个涉及到后台业务的应用模块。
在index.html上管理员把整个广告管理业务系统的数据库,数据架构,数据结构,开放文档信息等重要敏感信息。甚至phpmyadmin匿名形式访问,从而数据库中提取到广告管理员,广告区域管理等客户的账户密码,邮件及联系方式。
在skype软件广告中刚好嵌入此信息系统的广告()其代码如下:
 
 
<script type="text/javascript" src=""></script>
<script type="text/javascript" src=""></script>
 
<!--<script type="text/javascript" src=""></script>-->
 
<script type="text/javascript">
document.write('<script language="javascript" type="text/javascript" src="?'+Math.random()+'"><\/script>');
</script>
 
攻击者通过在广告管理平台页面挂马,弹窗方式获得可观的利益,此类挂马页面可以窃取skype用户账户密码等敏感信息。
 
漏洞证明:代码注释规范:
 
程序API:
 
设计UML:
 
数据库:
 
数据字典:?lang=zh&server=1&db=manage_ad&goto=db_details_structure.php
 
广告报备系统:
 
 

TOM重要业务系统高危漏洞涉及到多个业务信息系统正常运行