漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-097827
漏洞标题:某漏洞导致文化部全国所有机构沦陷(影响全国各省市县乡)
相关厂商:中华人民共和国文化部
漏洞作者: 刘洪泽
提交时间:2015-02-20 19:41
修复时间:2015-04-06 19:42
公开时间:2015-04-06 19:42
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-20: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-06: 细节向公众公开
简要描述:
可查阅全国各省市县乡政府内部文件。
涉及全国所有省市县乡机构,画面太美
用猪猪侠的话说就是
涉及用户量多的大多数系统会根据自身的业务特性,有许多格式用于排号数据,如果人员安全意识未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。同时随着网络安全意识越来越不深入民心,将给系统带来最大的威胁。哈哈
http://www.stats.gov.cn/tjsj/tjbz/xzqhdm/201401/t20140116_501070.html
以上是影响的全国地区:(
详细说明:
问题出在这个系统
发现县区汇总登陆帐号格式是
行政区划代码+HZTJ
(而行政代码是公开的,也就是意味着全国所有地区都被影响!
密码为默认的999999
行政区划代码地址:
例如北京市行政区划110000,那么登陆账号就是110000HZTJ
密码为999999
其他也是如此,就以几个省为例
北京市
天津市120000HZTJ
河北省130000HZTJ
内蒙古自治区150000HZTJ
号的,剩下的区市县乡就不一一证明了!
以北京市为例我们看看,这系统怎么玩
这个可以直接到处那么多资料,这就叫脱了吧!
电脑有点不好带不起!
这仅仅是一个市,一小段时间的档案
这叫政府内部信息了吧!随意提阅导出某时间段的档案文件。浏览器太卡,便不再深入了
可上报,审核,导出,查阅,发送信息,删除等这些政府文件。
大危害!浏览器问题不深入。
漏洞证明:
修复方案:
#妥善对待网络边界
#避免大范围有规律的排号
#严格限制
版权声明:转载请注明来源 刘洪泽@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-03-02 08:32
厂商回复:
最新状态:
暂无