漏洞概要 关注数(20) 关注此漏洞
缺陷编号: WooYun-2016-195710
漏洞标题: 某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息
相关厂商: sac.net.cn
漏洞作者: z_zz_zzz
提交时间: 2016-04-13 09:01
公开时间: 2016-05-28 16:10
漏洞类型: 系统/服务补丁不及时
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 远程命令执行
漏洞详情
披露状态:
2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 细节向公众公开
简要描述:
全国数百万证券行业相关人员信息泄漏/可查各证券公司老总信息
泄漏信息包括姓名、工作单位、职位、身份证号、手机号、办公电话、邮箱、家庭住址、家庭电话、学历、工作经历、教育经历。培训老师信息也同时泄漏,证监会和上交所躺枪
详细说明:
只查了少量数量证明漏洞,没有拖库,不要查我的水表
中国证券业协会的这个网站有weblogic JAVA反序列化漏洞
中国证券业协会的网站还有几个IP应该也是使用的weblogic中间件,但只提供了HTTP服务,无法利用JAVA反序列化漏洞
上面提到的IP可能是修复漏了,赶快修复吧。
上面提到的IP有几个系统
连上服务器
连上数据库
800多个表
1000W万学员信息,吓死我了
姓名,身份证号
拿身份证号去重下,29W
又是学员信息,400W
姓名,工作单位,职位,身份证号,手机号,工作电话,邮箱
拿身份证号去重下,还是400W
工作经历
180W工作经历
又是工作经历
又有160W工作经历
人员信息,姓名,工作单位,职位,身份证号,手机号,邮箱,学历
110W人员信息
又是人员信息,姓名,工作单位,身份证号
又是150W人员信息
120W教育经历
这是证书信息么,有身份证号和证书号
73W
姓名,身份证号,手机号,办公电话,工作单位,职位,邮箱,家庭住址,家庭电话
84W人员信息
还有好多信息,不一一说明了,都是几十万数据量的,有身份证号或手机号等信息
还有一千家投资顾问公司的人员信息
培训老师的信息,有证监会和交易所的工作人员,信息包括姓名,工作单位,职位,身份证号,手机号,邮箱
251名老师
看看有多少证券公司董事长的信息
有这些公司的董事长信息
最后看看几大证券公司的董事长信息,都是年轻有为啊
漏洞证明:
见详细说明
修复方案:
打补丁
可以参考:
修复weblogic的JAVA反序列化漏洞的多种方法
http://www.cn-sec.com/drops//web/13470
版权声明:转载请注明来源 z_zz_zzz@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2016-04-13 16:08
厂商回复:
非常感谢白帽子的测试。此系统是我单位临时对外开放的测试系统。目前,我单位已经关闭了此系统的外部访问,并且已经修复了。再次感谢各位白帽子的支持与关心。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(少于3人评价):
登陆后才能进行评分
0%
0%
0%
0%
100%
评论