漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03325
漏洞标题:北京住房公积金网手机版查询默认密码漏洞
相关厂商:北京住房公积金网
漏洞作者: 路人甲
提交时间:2011-11-16 21:41
修复时间:2011-11-21 11:33
公开时间:2011-11-21 11:33
漏洞类型:应用配置错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-11-16: 细节已通知厂商并且等待厂商处理中
2011-11-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
公民信息查询使用了可预见的密码,对用户不负责任。
详细说明:
继web版被曝默认密码漏洞后,官方已采取有效措施。但手机版依然存在问题,验证时使用了可以预测的默认密码,若用户未修改默认密码,就可能被黑客任意利用,未经授权即可查询他人的工资和工作单位等隐私信息,且该登录页面无验证码,更可能被黑客穷举身份证号和默认密码,海量偷取公民隐私信息。
漏洞证明:
1.进入wap版查询地址:
http://wap.mybj.gov.cn/wap/MyServiceAction/getService.action?id=SGD089693&bigTitle=%E4%BD%8F%E6%88%BF&smallTitle=%E5%85%AC%E7%A7%AF%E9%87%91
2.验证方式选择“身份证”
3.填写身份证号
4.默认密码为身份证号后4位+00,共6位。
修复方案:
提醒个人修改默认密码,并和手机绑定
采取和web版类似的修复手段
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-11-21 11:33
厂商回复:
经抽样测试10个身份证号码,CNVD目前无法确认漏洞存在。抱歉。
漏洞Rank:6 (WooYun评价)
最新状态:
暂无