记搜狗OA系统的一次成功登陆

有一天社工到一个邮箱账号、密码，登陆后惊奇的发现是搜狗员工的，然后故事就开始了。

邮箱里好多敏感信息，其中有一条是这个。

成功的发现，搜狗的OA系统的登陆规律是账号是身份证。那么接下来开始社工该员工的身份证，对于身份证而言，12306是最好的社工库了。

登陆后可以获取到想要的身份证信息。

多有冒犯，请海涵。

登陆搜狗OA系统http://oa.sohu-inc.com/EmployeeLogin.aspx

用户名：身份证件号码

登录密码：7t$K!To9

有礼物吗？

加强员工安全教育

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-09-23 12:03

厂商回复：

感谢支持，欢迎到SGSRC漏洞平台提交搜狗漏洞

最新状态：

暂无

1. 2014-09-23 12:19 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)

   0

   @搜狗 有礼物吗？

   1# 回复此人

2. 2014-09-23 16:32 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

   0

   我知道漏洞详情啦 [漏洞原因]我是搜狗的内部员工，我输入自己的账号密码，登陆了OA

   2# 回复此人

3. 2014-09-23 17:04 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)

   0

   @姿势不行 我也是搜狗的员工，你叫什么名字

   3# 回复此人

4. 2014-09-23 17:35 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

   0

   @大大灰狼 张朝阳

   4# 回复此人

5. 2014-09-24 15:55 | 吴友仁 ( 路人 | Rank:20 漏洞数:3 | 不要问我叫什么名字，请叫我雷锋)

   0

   @大大灰狼 能从这跳内网么？要是能的话，我还有一些搜狐的内网地址的服务器的用户名密码

   5# 回复此人

6. 2014-10-13 18:56 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

   0

   又黑12306

   6# 回复此人

7. 2014-11-07 09:32 | goubuli ( 普通白帽子 | Rank:689 漏洞数:122 )

   0

   @大大灰狼 这是搜狗？

   7# 回复此人

8. 2014-11-07 09:45 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)

   0

   @goubuli 是搜狗啊

   8# 回复此人

9. 2014-11-07 09:52 | goubuli ( 普通白帽子 | Rank:689 漏洞数:122 )

   0

   @大大灰狼 怎么是sohu-inc？？？？

   9# 回复此人

10. 2015-01-15 11:01 | Nero ( 路人 | Rank:0 漏洞数:4 | 我是一只小菜鸟，小呀小菜鸟~)

    1

    12306……社工好帮手啊！

    10# 回复此人