方正证券互联网安全接入接口安全隐患可导致进入企业内网（附32枚VPN账号）

2017年4月21日06:30:52评论322 views字数 223阅读0分44秒阅读模式

摘要

2016-04-07：细节已通知厂商并且等待厂商处理中
2016-04-07：厂商已经确认，细节仅向厂商公开
2016-04-17：细节向核心白帽子及相关领域专家公开
2016-04-27：细节向普通白帽子公开
2016-05-07：细节向实习白帽子公开
2016-05-22：细节向公众公开

漏洞概要关注数(9) 关注此漏洞

缺陷编号： WooYun-2016-193338

漏洞标题：方正证券互联网安全接入接口安全隐患可导致进入企业内网（附32枚VPN账号）

漏洞作者：艺术家

提交时间： 2016-04-07 09:14

公开时间： 2016-05-22 10:00

漏洞类型：后台弱口令

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

互联网安全接入接口

https://win.foundersc.com/prx/000/http/localhost/welcome/index.html

账号

code 区域

z01 
 z02 
 z07 
 z04 
 z09 
 z05 
 z14 
 z03 
 z06 
 z17 
 z16 
 z19 
 z08 
 z21 
 z18 
 z20 
 z26 
 z29 
 z30 
 z27 
 z10 
 z28 
 z11 
 z15 
 z99 
 z12 
 z13 
 z23 
 z24 
 z22 
 z25 
 postmaster 
 mailforfeedback

密码为123456

可进入内网多个业务系统

漏洞证明：

互联网安全接入接口

https://win.foundersc.com/prx/000/http/localhost/welcome/index.html

账号

code 区域

z01 
 z02 
 z07 
 z04 
 z09 
 z05 
 z14 
 z03 
 z06 
 z17 
 z16 
 z19 
 z08 
 z21 
 z18 
 z20 
 z26 
 z29 
 z30 
 z27 
 z10 
 z28 
 z11 
 z15 
 z99 
 z12 
 z13 
 z23 
 z24 
 z22 
 z25 
 postmaster 
 mailforfeedback

密码为123456

可进入内网多个业务系统

修复方案：

版权声明：转载请注明来源艺术家@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：4

确认时间：2016-04-07 09:57

厂商回复：

内部已在整改，要求统一修改密码，并符合密码复杂度要求

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-07 09:22 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:42 | little red pig!)

1

方正证券最近很热闹呀

1# 回复此人
2016-04-07 12:23 | 2000快，走不走？ ( 路人 | Rank:10 漏洞数:1 | 佳佳，2000块，走不走？)

1

佳佳，2000块，走不走？

2# 回复此人

漏洞概要 关注数(9) 关注此漏洞

缺陷编号： WooYun-2016-193338

漏洞标题： 方正证券互联网安全接入接口安全隐患可导致进入企业内网（附32枚VPN账号）

相关厂商： 方正证券股份有限公司

漏洞作者： 艺术家