WooYun.org

名称：灵星雨大屏幕授权绕过
异常或问题描述：用户名和密码存放不加密且位置，这种防止本地非法登录的措施不当形同虚设，被不法分子或恶意用户获取后可进行网络攻击。
击涉及范围：过半数大屏幕
异常解决措施：官方补丁
异常验证测试记录：通过
验证攻击代码：完整代码(或无需代码）
攻击途径：本地攻击
复杂度：高
认证：需要
机密性：完全的
完整性：完全的
名称：灵星雨大屏幕帐号可被远程枚举
异常或问题描述：用户认证体制控制不严密，可反复远程猜解密码。
击涉及范围：过半数大屏幕
异常解决措施：官方补丁
异常验证测试记录：通过
验证攻击代码：完整代码(或无需代码）
攻击途径：远程攻击
复杂度：中
认证：需要
机密性：完全的
完整性：完全的
可用性：完全地
此系统市场占有率超过60% 很多地区几乎垄断。其控制软件存在漏洞，在本地可暴漏用户权鉴信息，此信息可被远程利用，控制显示大屏幕如自己手机一般，若被几大敌对势力利用，甚至触及国家安全！
由于远程读取此权鉴信息存在技术限制，本地100%可成功，故讲RANK值减少到18.其用户名和密码本是防御本地非法操作大屏幕的，但是这里几乎形同虚设，首先密码不加密存储，其次存储位置居然是注册表（大汗）。很简陋的一个系统，居然应用如此广泛。此外，攻击者在获取本地帐号信息后，控制服务器犹如自己电脑，此外还存在远程暴力破解问题，由于权鉴认证失败的地址没有采取有效的记录与屏蔽，存在帐号被远程每局暴破解的可能。，
由于此系统实在简陋问题多多，故不再列数其他问题，希望厂商能够走群众路线，接受群众建议自查自纠纠查摆问题，尽可能多的修补漏洞。