当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0187258

漏洞标题:最权威的户外广告投放平台鹰目户外广告网漏洞(涉及主站5W+会员/可操控户外媒体LED几万+/涉及大量信息)

相关厂商:北京鹰目网络科技有限公司

漏洞作者: 路人甲

提交时间:2016-03-21 15:34

修复时间:2016-05-05 15:34

公开时间:2016-05-05 15:34

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

鹰目户外广告网是北京鹰目网络科技有限公司主营,全国唯一一家服务于整个户外广告产业链的专业平台。鹰目户外广告网致力成为户外广告行业顾问型服务网站。
鹰目网以“为客户提供有价值的服务”为宗旨,确立了以专业为基础、以客户为中心、以效率为核心、以服务根本、以满足客户需求为己任、绝不与客户争利益为原则的经营方针,围绕“做专”“做专业”“做精细”,立志以顾问形式服务户外广告的买卖双方。
目前,鹰目户外广告网以LED联播网、国际频道等精品栏目为依托,大力推动LED播控、视频监控、720度街景等技术,一方面积极助力加盟媒体主扩大影响力;另外一方面,为广告主提供“创意、策划、设计、制作、投放、监测、评估”一站式服务,让1400多万家企业可以足不出户的就找到全世界范围内满意的户外媒体。
鹰目户外广告网的诞生解决了行业线下传统单一的销售模式中存在的信息不畅通、资源分散、单打独斗等问题,将户外媒体、广告设备、广告材料、制作安装等与互联网结合,开启了户外广告行业的互联网化时代,并引领中国户外广告走向世界。
截至目前,鹰目户外广告网国内媒体资源量达到350余万条,其中,鹰目LED联播网拥有LED媒体1500多块,加盟成员400多家,覆盖全国31个省市自治区以及港澳台地区;自鹰目国际频道上线以来,拥有国际媒体资源量达到168602条,其中包括美国、英国、德国、俄罗斯、意大利、法国、迪拜、瑞士、西班牙、荷兰、澳大利亚、印度、日本、泰国、马来西亚、新加坡、韩国等17个国家的国际户外媒体资源;拥有媒体主会员5万多家,广告设备、广告材料资源量15万条,广告设备、材料厂商/经销商注册会员10,000多家,日均流量达到350多万次。
目前,鹰目户外广告网拥有几百人的专业团队,组织合理高效,职能分工明确,经过三年的发展,已经成为全国最大、最专业,服务于整个户外广告产业链的综合性服务平台。
展望未来,秉承“只做服务商”理念的鹰目户外广告网,将推动整个行业不断前行。

详细说明:

完全没想到的两个弱口令,主站和led管理都是admin

http://root.yingmoo.com/

yun.yingmoo.com


主站登录可 查看5W+会员信息以及媒体广告交易信息,至于yun平台,可操控数万计的LED大屏显示器,这些设备经过分析都存在统一的设备弱口令,123456,危害十分之大,
主站5W会员涉及个人的详细证件以及企业资料信息。
至于是否有会员认证费用以及其他收费接口,就不做演示了。

漏洞证明:

web0.png

web.png

web1.png

web2.png

web3.png


1111.png

22222.png

3333.png

44444.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)