漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0140215
漏洞标题:爱屋吉屋设计不当多个系统沦陷(OA、监控、VPN)
相关厂商:iwjwagent.com
漏洞作者: 土夫子
提交时间:2015-09-10 16:12
修复时间:2015-10-25 17:14
公开时间:2015-10-25 17:14
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-10: 细节已通知厂商并且等待厂商处理中
2015-09-10: 厂商已经确认,细节仅向厂商公开
2015-09-20: 细节向核心白帽子及相关领域专家公开
2015-09-30: 细节向普通白帽子公开
2015-10-10: 细节向实习白帽子公开
2015-10-25: 细节向公众公开
简要描述:
胖子皱了皱眉,终于醒悟过来,呆了呆,骂了一声:“我操!不会吧!”
我说什么不会?看那些影子诡异的形状,肯定不会是F罩杯的美女,那么它们被我们吸引,绝对不会是好事。
我登时就心乱如麻,不知道应该怎么办,看向闷油瓶,却见他入定了一样,不知道在想什么。
胖子忽然从一边的工具堆里掏出一把石工锤,丢给我。
详细说明:
不知道这三个系统加一起提交值不值20rank,好吧,接下来看看这三个系统有什么问题
一、OA系统
该系统采用手机号作为用户id,可以批量扫号,切用户初始密码均为数字1。
二、业务VPN
账户命名规则为员工姓名完整拼音,且大量口令为manyi520
三、运维监控系统
存在弱口令,用户名密码均为iwjw
漏洞证明:
如上
修复方案:
1、OA、VPN:禁止使用弱口令,用户第一次登录时强制更改复杂性密码
2、监控:内部系统能不对公网暴露就不暴露
版权声明:转载请注明来源 土夫子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-09-10 17:13
厂商回复:
已确认
最新状态:
暂无