漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025264
漏洞标题:中国联通陕西分公司某业务系统XSS&后台弱口令&信息泄露
相关厂商:中国联通陕西分公司
漏洞作者: godlong
提交时间:2013-06-06 17:47
修复时间:2013-07-21 17:47
公开时间:2013-07-21 17:47
漏洞类型:基础设施弱口令
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-06: 细节已通知厂商并且等待厂商处理中
2013-06-10: 厂商已经确认,细节仅向厂商公开
2013-06-20: 细节向核心白帽子及相关领域专家公开
2013-06-30: 细节向普通白帽子公开
2013-07-10: 细节向实习白帽子公开
2013-07-21: 细节向公众公开
简要描述:
中国联通陕西分公司某业务系统XSS,可以获取后台地址和后台权限,导入信息欺骗工作人员,同时还造成3W参加活动的人员信息泄露(由于活动物品是邮寄,所以近3w数据泄露都是真实有效的。)
详细说明:
中国联通陕西分公司某业务系统XSS,可以获取后台地址和后台权限,导入信息欺骗工作人员,同时还造成3W参加活动的人员信息泄露(由于活动物品是邮寄,所以近3w数据泄露都是真实有效的。)
起因是这样的:某日有童鞋跟我说陕西联通免费发流量卡了~遂围观之,然后发现申请表单可以猥琐下,然后就插了它一下...就没去管了。
反正插插又不会怀孕,不想第二天就收到了cookie,包括了后台的路径,用cookie请求/showphoneinfo//index.jsp进入后台,瞬间菊花通畅!
另外,后台admin/admin的密码组合也改了吧~
还有http://123.139.154.156/showphoneinfo/cardinssuerdetailshow.jsp这个页面未授权访问。
活动还没结束呢,这些数据对申请者都是一个影响炸弹,万一哪个不怀好意的泄露了,申请者被砍了你们负责吗?:)
漏洞证明:
如图信息泄露和后台XSS
。
另外可以导入发卡数据...不知道能否收到卡~
修复方案:
弱口令改口令,申请表单限制长度,过滤html标签等等!后台限制IP使用。
其他更安全的修复方法开发人员应该懂的!顺便求联通发点化肥(话费)来花花!:)
版权声明:转载请注明来源 godlong@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-06-10 22:25
厂商回复:
CNVD确认所述情况(对于XSS盲打,限制时间关系,不直接复现),已经在7日转由CNCERT下发给陕西分中心,同时抄报中国联通集团公司。
按同类事件进行评分,rank 10
最新状态:
暂无