当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114340

漏洞标题:趣分期商城管理后台存在大量弱口令导致沦陷(四)

相关厂商:趣分期

漏洞作者: px1624

提交时间:2015-05-15 18:15

修复时间:2015-06-29 18:40

公开时间:2015-06-29 18:40

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-15: 细节已通知厂商并且等待厂商处理中
2015-05-15: 厂商已经确认,细节仅向厂商公开
2015-05-25: 细节向核心白帽子及相关领域专家公开
2015-06-04: 细节向普通白帽子公开
2015-06-14: 细节向实习白帽子公开
2015-06-29: 细节向公众公开

简要描述:

贵公司果然很有自信,上个漏洞评级还是低危 5rank额
看来用户数据和信息安全在贵公司真的一文不值额
这是最后一个,不搞了,没意思,建议你们自查去吧

详细说明:

1 在企业邮箱中看到了这封邮件(当然这个密码已经用不了了)

1.png


2 然后就得到了后台地址 http://admin.fadongxi.com/

2.png


3 然后就找到了一堆弱口令,随便选了个进去截图证明下 趣分期的

3.png


4 里面东西很多,不一一截图了,反正你们貌似也不太重视,用户的数据和自身的信息安全
4000条左右的订单信息一览无余

4.png


漏洞证明:

密码均为 qufenqi1234
用户名

libin
houbin
qiupeng
zengwei
liuhangyu
xiechenfei
zhangxiang
hanguoqing
wangqingchun
zhangjianguo
liangyapeng
zhangchaoqing
zhouzhongyong
lina
wulang
wuyali
wanyong
lukaiwen
wangchao
lixudong
xionghuan
wangchao
zhangtao
zhangnan
wangxinyu
sunleilei
dushipeng
zhangnan
weiminrong
liuguangyu
liaohuilin
shaofurong
yaozhiguang
wenhaiyang
wangchenggang
jiangxiaowei
zhangxuguang
wangjinyang

修复方案:

我不知道,你们最牛逼!

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-05-15 18:38

厂商回复:

感谢指出,已通知相关人员修复。

最新状态:

暂无