基金安全之鹏华基金多个重要系统账户管理不严导致大量敏感信息泄露(已撕进vpn未深入)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0127844

漏洞标题：基金安全之鹏华基金多个重要系统账户管理不严导致大量敏感信息泄露(已撕进vpn未深入)

漏洞作者：管管侠

提交时间：2015-07-20 13:45

修复时间：2015-09-03 14:00

公开时间：2015-09-03 14:00

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-20：细节已通知厂商并且等待厂商处理中
2015-07-20：厂商已经确认，细节仅向厂商公开
2015-07-30：细节向核心白帽子及相关领域专家公开
2015-08-09：细节向普通白帽子公开
2015-08-19：细节向实习白帽子公开
2015-09-03：细节向公众公开

简要描述：

哈！！基金业安全堪忧

详细说明：

https://mail.phfund.com.cn/owa/
大量账户弱口令，outlook白瞎了，居然不设置强密码规则
12345678闯天下，会被爆菊的
这里面往来的邮件十几万到上百万封，密码的往来邮件也不少吧，不言表了
可以看我以前的案例，考虑基金业，不深入了
下面的用户密码全都是12345678

mask 区域

*****uem*****
*****uan*****
*****gji*****
*****hen*****
*****ing*****
*****ing*****
*****ngy*****
*****zhi*****
*****gbi*****
*****cho*****
*****cho*****
*****ngk*****
*****angl*****
*****aoli*****
*****ang*****
*****uic*****
*****iao*****
*****iao*****
*****ing*****
*****iao*****
*****han*****
*****epi*****
*****gpi*****
*****unxi*****
*****guo*****
*****ngh*****
*****ngq*****
*****ian*****
*****uti*****
*****ish*****
*****ang*****
*****uan*****
*****ong*****
*****uir*****
*****ngx*****
*****you*****
*****yut*****
*****ian*****
*****inr*****
*****ime*****
*****ngj*****
*****ping*****
*****hua*****
*****enta*****
*****uic*****
*****eng*****
*****hiyu*****
*****hao*****
*****anf*****
*****iya*****
*****nlo*****
*****hih*****
*****anx*****
*****ngw*****
*****ngz*****
*****ayi*****
*****ing*****
*****ian*****
*****und*****
*****hiq*****
*****ing*****
*****ipi*****
*****hif*****
*****ong*****
*****kai*****
*****uqi*****
*****han*****
*****qia*****
*****oha*****
*****ngl*****
*****anm*****
*****gha*****
*****ing*****
*****ifa*****
*****shi*****
*****aol*****
*****d
*****
*****ds*****
*****y*****
*****rn*****
*****gy*****
*****nqy*****
*****hi*****
*****gq*****
*****ang*****
*****ian*****
*****ghu*****
*****ime*****
*****gy*****
*****iji*****
*****ei*****
*****uqi*****
*****er*****
*****u
*****
*****lan*****
*****ron*****
*****an*****
*****uew*****
*****gta*****
*****ya*****
*****yu*****
*****tao*****
*****ui*****
*****e
*****
*****ao*****
*****aju*****
*****nwe*****
*****we*****
*****yu*****
*****eng*****
*****gj*****
*****nm*****
*****ixi*****
*****ife*****
*****hao*****
*****fan*****
*****iju*****
*****iya*****
*****gl*****
*****iwe*****
*****huo*****
*****ji*****
*****ai*****
*****nru*****
*****hui*****
*****ai*****
*****o
*****
*****gbo*****
*****uan*****
*****yin*****
*****ns*****
*****che*****
*****ian*****
*****yu*****
*****nbo*****
*****we*****
*****gk*****
*****gq*****
*****we*****
*****men*****
*****da*****
*****gk*****
*****hen*****
*****yan*****
*****ng*****
*****zhu*****
*****ian*****
*****ox*****
*****hen*****
*****hui*****
*****ng*****
*****ang*****
*****nt*****
*****gl*****
*****ang*****
*****an*****
*****ji*****
*****pi*****
*****o
*****
*****con*****
*****uya*****
*****xu*****
*****ili*****
*****che*****
*****pen*****
*****nme*****
*****wei*****
*****ang*****
*****fe*****
*****wei*****
*****ti*****
*****ian*****
*****gw*****
*****in2*****
*****uxu*****
*****nru*****
*****an*****
*****sha*****
*****nme*****
*****an*****
*****ua*****
*****un*****
*****wen*****
*****ui*****
*****ui*****
*****in*****
*****ei*****
*****wei*****
*****xin*****
*****an*****
*****nbi*****
*****eng*****
*****ern*****
*****ng*****
*****zhe*****
*****qin*****
*****tin*****
*****ngy*****
*****ua*****
*****jie*****
*****nyu*****
*****qi*****
*****ca*****
*****we*****
*****nhu*****
*****e
*****
*****im*****
*****il*****
*****en*****
*****ju*****
*****gh*****
*****era*****
*****gy*****
*****yi*****
*****   12*****
*****^12345*****
*****g	1234*****
*****	1234*****
*****ng	123*****
*****g	123*****
*****23456*****
*****12345*****
*****12345*****
*****23456*****
*****12345*****

其他的弱口令还没跑呢.....

漏洞证明：

oa系统：这里面的权限太大了,各种系统

不乱点了，这么多账号，权限应该不是问题
vpn撕进内网：就说12345678会被爆菊的
https://vpn.phfund.com.cn/dana-na/auth/url_default/welcome.cgi

下载客户端然后就...不玩了

修复方案：

@@
方案：
1.强化口令，outlook是有强制强化密码规则的设置的
2.员工安全教育
3.系统作有效的双因素验证登录(令牌或手机验证码)
建议如何？

版权声明：转载请注明来源管管侠@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-07-20 13:59

厂商回复：

感谢白帽子做出的贡献，全员风险意识有待不断强化。希望与乌云及白帽子进一步合作，发现更多的系统问题，强化我司安全。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0127844

漏洞标题：基金安全之鹏华基金多个重要系统账户管理不严导致大量敏感信息泄露(已撕进vpn未深入)

相关厂商：鹏华基金管理有限公司

漏洞作者：管管侠

提交时间：2015-07-20 13:45

修复时间：2015-09-03 14:00

公开时间：2015-09-03 14:00

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源管管侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0127844

漏洞标题：基金安全之鹏华基金多个重要系统账户管理不严导致大量敏感信息泄露(已撕进vpn未深入)

相关厂商：鹏华基金管理有限公司

漏洞作者： 管管侠

提交时间：2015-07-20 13:45

修复时间：2015-09-03 14:00

公开时间：2015-09-03 14:00

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0127844"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 管管侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：管管侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源管管侠@乌云