多省份移动某业务管理平台管理员账号泄露（通用密码）

2015年4月24日22:02:06评论358 views字数 247阅读0分49秒阅读模式

摘要

2014-07-10：细节已通知厂商并且等待厂商处理中
2014-07-12：厂商已经确认，细节仅向厂商公开
2014-07-22：细节向核心白帽子及相关领域专家公开
2014-08-01：细节向普通白帽子公开
2014-08-11：细节向实习白帽子公开
2014-08-22：细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2014-67725

漏洞标题：多省份移动某业务管理平台管理员账号泄露（通用密码）

漏洞作者：傻逼

提交时间： 2014-07-10 14:09

公开时间： 2014-08-22 14:10

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank： 5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：安全意识不足内部敏感信息泄露安全意识不足

0人收藏

漏洞详情

披露状态：

简要描述：

某省移动某业务管理平台管理员账号信息披露不当

详细说明：

不怕神一样的对手，就怕猪一样的队友。

http://**.**.**.**/yw/showinfo/show.do?bid=BFA93573C3D650FEE044B499BA622A0A

往下翻，我看到了什么？

code 区域

问：10086客户代表如何查询客户开通商信通业务情况，以及如何查询企业客户的客户经理？
 答：10086客户代表可以通过登陆 http://**.**.**.**:8080/admin/login.php，用户名：zhejiang，密码：10086，对客户业务开通情况及客户经理情况进行查询。（登陆页面后，点击左列菜单“订购业务情况查询”进入后，在输入查询手机号后，点击查询。查询结果列表中包括客户开通服务、所属企业以及本企业的移动客服经理信息等情况）。

漏洞证明：

http://**.**.**.**/yw/showinfo/show.do?bid=BFA93573C3D650FEE044B499BA622A0A

举一反三输入beijing，密码10086，成功登录。

修复方案：

里面可查询所有定制过该业务的手机号以及集团信息，信息量巨大！

怎么修复？你们比我懂！不要再有猪一样的队友了！对了，密码不要弱口令！

版权声明：转载请注明来源傻逼@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-07-12 22:44

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT直接通报给中国移动集团公司处置。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(5) 关注此漏洞

缺陷编号： WooYun-2014-67725

漏洞标题： 多省份移动某业务管理平台管理员账号泄露（通用密码）

相关厂商： 中国移动

漏洞作者： 傻逼

提交时间： 2014-07-10 14:09

公开时间： 2014-08-22 14:10

漏洞类型： 内部绝密信息泄漏

危害等级： 高