漏洞概要 关注数(4) 关注此漏洞
缺陷编号: WooYun-2016-197656
漏洞标题: 广州地铁账户体系控制不严导致内部邮箱泄露
相关厂商: gzmtr.com
漏洞作者: 路人甲
提交时间: 2016-04-18 09:33
公开时间: 2016-06-03 09:20
漏洞类型: 账户体系控制不严
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(广东省信息安全测评中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 无
漏洞详情
披露状态:
2016-04-18: 细节已通知厂商并且等待厂商处理中
2016-04-19: 厂商已经确认,细节仅向厂商公开
2016-04-29: 细节向核心白帽子及相关领域专家公开
2016-05-09: 细节向普通白帽子公开
2016-05-19: 细节向实习白帽子公开
2016-06-03: 细节向公众公开
简要描述:
详细说明:
**.**.**.**/owa/auth/logon.aspx
上用户名字典爆破123456弱密码
登陆几个账号进行查看
这有个银行卡号
30亿项目,叼叼叼
某邮件中翻出来的账号密码
还是看看通讯录吧
大概看了下,近万的邮箱人员
漏洞证明:
附一串弱密码的邮箱账号
77 anquanxinxi3 302 false false 1903
98 APMwenyuanzu 302 false false 1903
108 bahaoxianhuandiao 302 false false 1903
402 chenchuanghuan 302 false false 1903
516 chengxuechang 302 false false 1903
885 chenweiliang 302 false false 1903
888 chenweiming2 302 false false 1903
1051 chenyongfeng 302 false false 1903
1054 chenyongqiang2 302 false false 1903
1062 chenyuancong 302 false false 1903
1561 erhaoxianhuandiao 302 false false 1903
114 baimiaobin 302 false false 1883
177 biying 302 false false 1883
437 chenfang 302 false false 1883
743 chenpeili 302 false false 1883
750 chenpenghui 302 false false 1883
900 chenwenan 302 false false 1883
1068 chenyubo2 302 false false 1883
1085 chenyuntao 302 false false 1883
1294 dengguiping 302 false false 1883
1455 dingxuejie 302 false false 1883
1473 dongming 302 false false 1883
1493 dongzhihui 302 false false 1883
1712 fengwanshan 302 false false 1883
1168 chezhanfuwuer 200 false false 1662
185 bumendiaodu 200 false false 1660
1043 chenyixiang 200 false false 1660
1262 dazhoustck 200 false false 1659
1608 fangxiaohu 200 false false 1659
771 chenqitao 200 false false 1658
1 321123 200 false false 1655
1551 duyaer 200 false false 1655
修复方案:
改密码吧。人员安全意识加强
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2016-04-19 09:18
厂商回复:
非常感谢您的报告。
报告中的问题已确认并复现。
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:20
正在联系相关网站管理单位处置。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论