中华人民共和国商务部某三处管理统计系统之越权访问+弱口令（涉及机构人员管理、认证申报及各类合同管理）

中华人民共和国商务部-某三处管理统计系统越权访问及弱口令

介绍地址:http://**.**.**.**/pages/Page.html
 服务外包管理端:http://**.**.**.**/login.html
 软件出口业务管理和统计系统:http://**.**.**.**/login.html
 企业和培训机构端:http://**.**.**.**/login.html

1.服务外包管理端,弱口令test/test;但是登录时会报错"您所输入的用户不属于本组!"。所属组别问题,还是有希望的,至少用户名密码都对:用Tamper Data拦截,修改loginType字段为"3"（默认为2）,即可登录成功。各种权限、以及信息的泄露、合同管理、认证及机构、人员的审核删除。

2.软件出口业务管理和统计系统,弱口令 test/test,登录即可，且各公司软件合同审核查看...

3.企业和培训机构端:该系统和服务外包管理端一样,同样是test/test弱口令及修改loginType为“3”,但需要在IE下登录,则不一一验证^_^。

如上

拒绝弱口令

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-07-16 22:16

厂商回复：

CNVD确认并复现所述情况，转由CNCERT向商务部中国国际电子商务中心通报，由其后续协调网站管理单位处置。rank 15

最新状态：

暂无

1. 2014-07-12 08:07 | 银狼_avi ( 实习白帽子 | Rank:55 漏洞数:13 | 本屌十二岁破处)

   1

   感觉好牛逼的样子

   1# 回复此人

2. 2014-07-12 08:19 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

   0

   袋鼠妈妈腻害

   2# 回复此人

3. 2014-07-12 08:32 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

   0

   @泳少 我擦，你都搞了一大堆通用了，我还在瞎搞呢,求带！

   3# 回复此人

4. 2014-07-12 08:33 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

   0

   @银狼_avi 只是标题字数比较多，哈哈，你们起来这么早？？

   4# 回复此人

5. 2014-07-12 08:35 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

   0

   @疯狗 @银狼_avi @泳少 你们是没睡么？今天去面试，希望顺利啊，，

   5# 回复此人

6. 2014-07-12 09:05 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

   0

   @袋鼠妈妈 准备去面试了呢。。。我也是瞎搞的。。私信把你QQ发我。。我晚上回来加你吧

   6# 回复此人

7. 2014-07-12 13:28 | chock ( 普通白帽子 | Rank:156 漏洞数:33 | 若你喜欢怪人)

   0

   中华人民共和国XX部......一点也不装逼的标题

   7# 回复此人

8. 2014-07-12 15:08 | 无花果 ( 路人 | Rank:2 漏洞数:1 )

   0

   @chock 呵呵呵

   8# 回复此人

9. 2014-07-14 18:47 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   0

   @袋鼠妈妈 面试顺利否？

   9# 回复此人

10. 2014-07-14 19:29 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    1

    @疯狗 惊动大牛了呢.嘿嘿.周六去面试的,前四面过了,等待这周通知终面呢，紧张中...

    10# 回复此人