四川省某市政府信息公开系统漏洞导致敏感内容泄露(影响几十个部门)

admin 2015年7月24日02:48:12评论189 views字数 246阅读0分49秒阅读模式
摘要

2014-10-30: 细节已通知厂商并且等待厂商处理中
2014-11-02: 厂商已经确认,细节仅向厂商公开
2014-11-12: 细节向核心白帽子及相关领域专家公开
2014-11-22: 细节向普通白帽子公开
2014-12-02: 细节向实习白帽子公开
2014-12-12: 细节向公众公开

漏洞概要 关注数(8) 关注此漏洞

缺陷编号: WooYun-2014-81030

漏洞标题: 四川省某市政府信息公开系统漏洞导致敏感内容泄露(影响几十个部门)

相关厂商: cncert国家互联网应急中心

漏洞作者: 黑暗游侠

提交时间: 2014-10-30 12:02

公开时间: 2014-12-12 12:04

漏洞类型: 后台弱口令

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

0人收藏


漏洞详情

披露状态:

2014-10-30: 细节已通知厂商并且等待厂商处理中
2014-11-02: 厂商已经确认,细节仅向厂商公开
2014-11-12: 细节向核心白帽子及相关领域专家公开
2014-11-22: 细节向普通白帽子公开
2014-12-02: 细节向实习白帽子公开
2014-12-12: 细节向公众公开

简要描述:

四川省全省信息危机 # 紧急告急

详细说明:

四川省某市信息危机 # 紧急告急

泄露部门:

code 区域
市教育局 
市科技局
市公安局
市监察局
市民政局
市司法局
市财政局
市人力资源和社会保障局
市国土资源局
市城乡规划建设和住房保障局
市交通运输局
市水务局
市农牧业局
市林业局
市商务局
市文广影视新闻出版局
市卫生局
市人口计生委
市审计局
市环保局
市体育局
市统计局
市外事侨务和旅游局
市城乡管理执法局
市安监局
市粮食局
市国资委
市投资促进局
市人防办
市食品药品监管局
市接待办
市畜牧局
市房管局
高新区管委会
市政务服务中心
市档案局
市防震减灾局
市灯贸委
市供销社
市社保局
市就业局
市医保局
市市场中心
市群工局
自贡质监局
市工商局
市气象局
市国税局
市地税局
自贡调查队
自贡银监分局
人行市中心支行
海关自贡办事处
市农办
自流井区政府
贡井区政府
大安区政府
沿滩区政府
荣县政府

漏洞证明:

code 区域
**.**.**.**/userlogin.aspx

这是四川省自贡市的信息平台

每个部门下面都有个 叫做admin的登录名 密码全部为12345登录

进去后会强制修改密码

四川省某市政府信息公开系统漏洞导致敏感内容泄露(影响几十个部门)

改了密码后 进去可以改掉其他用户名的密码

四川省某市政府信息公开系统漏洞导致敏感内容泄露(影响几十个部门)

四川省某市政府信息公开系统漏洞导致敏感内容泄露(影响几十个部门)

市发改委 市经信委 因为测试 改成了asdasdasd1!

/**

另外,四川省整个系统其他市也肯定存在,不止自贡市,今天时间太晚了,看我明天如果研究的对的话就提交一个通用了~~~嘻嘻小赚点money靠自己努力

**/

修复方案:

市教育局

市科技局

市公安局

市监察局

市民政局

市司法局

市财政局

市人力资源和社会保障局

市国土资源局

市城乡规划建设和住房保障局

市交通运输局

市水务局

市农牧业局

市林业局

市商务局

市文广影视新闻出版局

市卫生局

市人口计生委

市审计局

市环保局

市体育局

市统计局

市外事侨务和旅游局

市城乡管理执法局

市安监局

市粮食局

市国资委

市投资促进局

市人防办

市食品药品监管局

市接待办

市畜牧局

市房管局

高新区管委会

市政务服务中心

市档案局

市防震减灾局

市灯贸委

市供销社

市社保局

市就业局

市医保局

市市场中心

市群工局

自贡质监局

市工商局

市气象局

市国税局

市地税局

自贡调查队

自贡银监分局

人行市中心支行

海关自贡办事处

市农办

自流井区政府

贡井区政府

大安区政府

沿滩区政府

荣县政府

版权声明:转载请注明来源 黑暗游侠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-11-02 08:44

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给四川分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分


评价

  1. 2014-11-02 15:03 | 大漠長河 ( 实习白帽子 | Rank:66 漏洞数:10 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区枫叶正...)

    0

    四川这个是怎么了 看着闹心

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin