湖北移动支撑系统APP信息泄露导致登录CRM系统(可缴费)

2017年4月26日00:55:21评论553 views字数 249阅读0分49秒阅读模式

摘要

2016-05-01：细节已通知厂商并且等待厂商处理中
2016-05-05：厂商已经确认，细节仅向厂商公开
2016-05-15：细节向核心白帽子及相关领域专家公开
2016-05-25：细节向普通白帽子公开
2016-06-04：细节向实习白帽子公开
2016-06-19：细节向公众公开

漏洞概要关注数(10) 关注此漏洞

缺陷编号： WooYun-2016-203911

漏洞标题：湖北移动支撑系统APP信息泄露导致登录CRM系统(可缴费)

漏洞作者：路人甲

提交时间： 2016-05-01 00:30

公开时间： 2016-06-19 20:10

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感信息泄露内部敏感信息泄漏

0人收藏

漏洞详情

披露状态：

简要描述：

所谓的4A就是集中统一的账号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)，缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法，仅供参考。

详细说明：

需要本人手机号和服务密码才可进行针对用户操作

可直接充值手机话费和宽带

现在已经无法下载了管理员需要测试请私信我呢

http://

mask 区域

1.://**.**.**/HubeiESOPWEB/G3CRM_HuBei_Platform.apk

湖北黄石地区

code 区域

mask 区域*****lei***** *****uha***** *****gju***** *****_hs***** ********** ***** *****

登录4A

chenyuhan_hs/HS@@1234

code 区域

mask 区域*****322*****

/服务密码后6位

我测试了1元钱.希望原谅。。

漏洞证明：

下载手机中国移动官方app 登录测试账号查询缴费记录已成功

修复方案：

1.修复弱口令

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-05-05 20:02

厂商回复：

CNVD未复现所述情况，已经转由CNCERT向中国移动集团公司通报，由其后续协调网站管理部门处置。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(10) 关注此漏洞

缺陷编号： WooYun-2016-203911

漏洞标题： 湖北移动支撑系统APP信息泄露导致登录CRM系统(可缴费)

相关厂商： 中国移动

漏洞作者： 路人甲

提交时间： 2016-05-01 00:30

公开时间： 2016-06-19 20:10

漏洞类型： 重要敏感信息泄露

危害等级： 高