当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153900

漏洞标题:西北工业大学课程平台若干后台弱口令

相关厂商:西北工业大学

漏洞作者: Cr0mit

提交时间:2015-11-18 14:05

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:后台弱口令

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-18: 细节已通知厂商并且等待厂商处理中
2015-11-20: 厂商已经确认,细节仅向厂商公开
2015-11-30: 细节向核心白帽子及相关领域专家公开
2015-12-10: 细节向普通白帽子公开
2015-12-20: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

课程平台后台弱口令、登陆表单存在口令

详细说明:

以下若干站点后台存在弱口令:
http://jpkc.nwpu.edu.cn/jp2005/02/wljx/wlkc/12345.files/lyb/index.asp?action=login
http://jpkc.nwpu.edu.cn/jp2007/17/admin/index.asp
http://jpkc.nwpu.edu.cn/jp2005/19/jsbks/jsbks_login.asp
http://jpkc.nwpu.edu.cn/jp2007/11/admin.asp
http://jpkc.nwpu.edu.cn/dzjc/dianzijs/admin.asp
以下站点登陆表单含账号密码:
http://jpkc.nwpu.edu.cn/jp2005/32/Experiment/sylogin.asp
http://jpkc.nwpu.edu.cn/jp2005/16/Exam_left.asp
http://jpkc.nwpu.edu.cn/jp2005/32/Exam/zxcp1.asp

漏洞证明:

登陆后可修改密码、查询信息、上菜刀等

Capture.PNG


Capture1.PNG


Capture2.PNG


Capture3.PNG


Capture4.PNG


Capture5.PNG


Capture6.PNG


Capture7.PNG


Capture8.PNG


Capture9.PNG


Capture11.PNG


表单含口令的:

Capture12.PNG


Capture13.PNG


Capture14.PNG


Capture15.PNG


Capture16.PNG


Capture17.PNG


修复方案:

修改密码或关闭后台

版权声明:转载请注明来源 Cr0mit@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-11-20 10:21

厂商回复:

感谢您的报告,校园安全需要你们这些白帽子,问题已提交给相关部门。

最新状态:

暂无