哪怕寒冬腊月，漏洞盒子白帽子们还是一如既往的专注于帮助企业找出安全漏洞。

11月“漏洞之星”

经漏洞盒子评审组评定，以下10个漏洞当选为11月份的“漏洞之星”，详情如下（排名不分先后顺序）：

·漏洞标题‍‍：人人网站大量数据信息泄露

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012156‍‍

提交者：小川

·漏洞‍‍标题：手机贷多个高危漏洞威胁所有用户账号安全‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012203

提交者：匿名者

·漏洞标‍‍题：河南移动、内蒙移动两省校讯通业务平台存在XML实体注入漏洞导致读取系统任意文件‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012262

提交者：一枚小屌丝

·漏洞‍‍标题：中国联通官方营业厅可取消任意用户的某些业务‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012489

提交者：zoubianjianghu

·漏洞标题‍‍：雄迈科技XMEYE等摄像头相关产品存在漏洞，4W用户摄像头随意看‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012572

提交者：fengxingzhe05

·漏洞‍‍标题：中国移动某商城存在支付逻辑漏洞，无限制，场内商品买买买‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012612

提交者：紫诺

·漏洞标‍‍题：某输入法设计缺陷Windows认证界面绕过‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012605

提交者：匿名者

·漏洞‍‍标题：麦思移动SP服务商某系统存在多个安全漏洞导致Getshell/未授权访问/与之合作的企业的密码泄漏/数据库信息配置泄漏/企业idc机房配置全部泄漏‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012845

提交者：匿名者

·漏洞标‍‍‍‍题：phpcmsV9最新版本通杀，代码设计疏忽，导致传入参数未经检测过滤，可产生sql注入，文件包含等多种漏洞

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012941

提交者：匿名者

·漏洞标‍‍题：rockoa通用高危漏洞，可getshell‍‍

漏洞URL：https://www.vulbox.com/bugs/vulbox-2015-012912

提交者：匿名者

中奖者名单为：一枚小屌丝、woogua、zoubianjianghu、range、Weiy-Buf、小川、fengxingzhe05、gh0stbo、 紫诺、xiaohei。

11月白帽子礼物

为了感谢白帽子在11月份的辛苦工作，在圣诞节来临之际，漏洞盒子特意为入选的白帽子送上又酷又萌的FUNKO POP漫威银河护卫队树人盆栽跳舞版树精GROOT格鲁特星爵。

漏洞盒子一直致力于为国内网络安全领域带来力所能及的正能量，传递真正的黑客与极客精神。我们欢迎更多的白帽子加入，我们一起为中国互联网的健康良性发展努力；同时也欢迎更多的企业进驻，我们和分布在世界各处的白帽子们一起为你的产品安全保驾护航。

*作者/漏洞盒子，转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）