漏洞详情披露状态： 2016-04-26： 细节已通知厂商并且等待厂商处理中2016-04-28： 厂商已经确认，细节仅向厂商公开2016-05-08： 细节向核心白帽子及相关领域专家公开2016-05-18： 细节向普通白帽子公开2016-05-28： 细节向实习白帽子公开2016-06-12： 细节向公众公开简要描述：恒大什么时候也开始 弄支付详细说明：**.**.**.**：3306 root 123456以为是个普通的数据库，翻翻后发现是一个后台支付处理集群通过邮箱发现是 恒大的。然后去config 表找各种后台配置信息 从数据库的数据最后锁定到**.**.**.**:8102/eif-cms git源码未授权访问，经观察是恒大金服的app源码包含ios 和android漏洞证明：     修复方案： 版权声明：转载请注明来源 sherwel@乌云漏洞回应厂商回应：危害等级：中漏洞Rank：8确认时间：2016-04-28 19:03厂商回复：CNVD确认并复现所述情况，已由CNVD通过网站管理方公开联系渠道向其邮件通报，由其后续提供修复方案。最新状态：暂无

漏洞详情披露状态： 2016-05-09： 细节已通知厂商并且等待厂商处理中2016-05-09： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-14： 厂商已经主动忽略漏洞，细节向公众公开简要描述：某MongoDB未授权访问，泄露大量数据，影响800gb数据，上亿的数据肯定是跑不了了无意中发现了一个段，看了看内容和整个IP段，推断应该是腾讯的查了好久，但是还是查不到整个段的信息但是xxxxxx整个段都开了MongoDB，再结合数据内容还有数据大小这么大的手笔，应该就是腾讯了，TMD希望不是乌龙！！TMD希望不是乌龙！！TMD希望不是乌龙！！详细说明：地址：mask 区域1.://**.**.** 查了好久，但是还是查不到整个段的信息但是114.228.201.1-254整个段都开了MongoDB，再结合数据内容还有数据大小这么大的手笔，应该就是腾讯了只看部分主机mask 区域*****for 114.2***** *****.043s l***** *****TE S***** *****iltere***** ********** *****for 114.2***** *****.067s l***** *****TATE ***** *****losed ***** ********** *****for 114.2***** *****.052s l***** *****TE S***** *****iltere***** ********** *****for 114.2***** *****.016s l***** *****TE S***** *****iltere***** ********** *****for 114.2***** *****.072s l***** *****TATE S***** *****pen m***** ***** execution fail***** ********** *****for 114.2***** *****.042s l***** *****TE S***** *****iltere***** ********** *****for 114.2***** *****.052s l***** *****TATE ***** *****losed ***** *****for 114.2***** *****.047s l***** *****TATE S***** *****pen m***** *****db-i***** ***** Build***** *****NCREMENTAL:NO /LARG***** *****ctSize = ***** *****on = 3***** *****its ***** 来看未授权的主机的数据多少看看所有的库再看看其中的QQZONE这个最大的库按照城市记录了QQ空间的信息，包括时间，名字，等等字段太多了再看看其他的，记录了不少的登录状态，推断出应该是不是爬虫同样是大量的登录状态 还有每个用户的名字，图片地址，等等很全的信息还有大量的QQ群的信息然后就是QQ号和QQ空间的信息 漏洞证明： 修复方案：TMD希望不是乌龙！！TMD希望不是乌龙！！TMD希望不是乌龙！！ 不是乌龙求送礼物版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-14 01:54厂商回复：感谢白帽子对腾讯公司安全的关注。收到乌云通知后，我们第一时间进行漏洞验证，所提及IP不是腾讯公司的IP。同时，我们无法访问报告中所描述的MongoDB服务器，并在与乌云沟通后了解到漏洞报告者也未能下载提及的数据。目前根据漏洞报告者所提供的图片判断，所涉及内容属于QQ及QQ空间的公开信息，不涉及用户隐私信息。腾讯公司高度关注用户账号安全，会对此事进行持续关注。最新状态：暂无

漏洞详情披露状态： 2016-04-26： 细节已通知厂商并且等待厂商处理中2016-04-26： 厂商已经确认，细节仅向厂商公开2016-05-06： 细节向核心白帽子及相关领域专家公开2016-05-16： 细节向普通白帽子公开2016-05-26： 细节向实习白帽子公开2016-06-10： 细节向公众公开简要描述： 详细说明： mask 区域*****泄露大量警员身份信息/地***** ********** 1.://**.**.**/WWCPS/login.action_ *****quot; /><img src="/upload/201604/26101113bede07098*****  漏洞证明： mask 区域*****份信息/地址通讯信***** *****604/2610120205893892d6d61d68c610e6f5735971f3.png" alt="QQ图片20160426093135.png" /><img src="/upload/201604/261012088c5284eb492359fe93f001d69b316e16.png" alt="QQ图片20160426*****  修复方案： 版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：11确认时间：2016-04-26 11:46厂商回复：非常感谢！你提交的漏洞已验证，会尽快修复。最新状态：暂无