当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129299

漏洞标题:全国农村危改房改造试点农户档案管理信息系统登陆信息泄露导致大量数据泄露

相关厂商:住房和城乡建设部信息中心

漏洞作者: 逝情

提交时间:2015-07-26 20:43

修复时间:2015-09-13 10:04

公开时间:2015-09-13 10:04

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-26: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

全国农村危改房改造试点农户档案管理信息系统登陆信息泄露导致大量数据泄露
百密总有一疏,政府对于各部门人员的安全意识培训还是不足啊!

详细说明:

2.jpg


http://www.ziyang.gov.cn/public_catalog_ay/t.aspx?i=20110908184151-311371-00-000
http://pub.jian.gov.cn/jxjax/bmgkxx/wfz/fgwj/qtygwj/201209/t20120929_985896.htm
吉安县用户36082101密码jaxnfb8433419
这些信息居然被地方政府网站编辑给发出来了,我也是醉了,利用Google各种搜索就出来了,我只找到这2个账号,我想或许不止吧,两个账号足矣说明很多,我也就不继续花时间找了。
顺便送个没测试成功的洞子吧~我是好人^.^
http://ymsa.mohurd.gov.cn/ 我发现,有好多这样的系统,我就发现了四个系统

1.jpg


登陆框验证码不变,这也就导致了可以爆破,我不知道登陆账号,之前爆破admin这个账号没成功,但这绝对是存在风险的,如果加入大数据,用户名生成51202101这种八位随机号,我想应该能跑出些账号吧?嘿嘿,还有一个,登陆密码是明文提交!!!

漏洞证明:

2.jpg


1.jpg


就不继续贴了,吉安县、安岳县,两个县下面加起来接近200个乡的用户资料泄露,总共涉及的用户估计过万。

修复方案:

你们比我更懂的,个人建议,全国性的站点,数据涉及太庞大,登陆的方式应该采用加密驱动吧!
我只是说说,呵呵。

版权声明:转载请注明来源 逝情@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-30 10:02

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置。

最新状态:

暂无