漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-016157
漏洞标题:2345某子站后台弱口令,可修改首页导航,可钓鱼
相关厂商:多特
漏洞作者: txcbg
提交时间:2012-12-18 00:09
修复时间:2013-02-01 00:10
公开时间:2013-02-01 00:10
漏洞类型:后台弱口令
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-18: 细节已通知厂商并且等待厂商处理中
2012-12-18: 厂商已经确认,细节仅向厂商公开
2012-12-28: 细节向核心白帽子及相关领域专家公开
2013-01-07: 细节向普通白帽子公开
2013-01-17: 细节向实习白帽子公开
2013-02-01: 细节向公众公开
简要描述:
2345某子站后台弱口令,可修改首页导航,可钓鱼。
详细说明:
2345某子站后台弱口令,可修改首页导航,可钓鱼。如果把首页导航修改成钓鱼网站,每日单个导航几万的访问量,后果可能比较严重。
漏洞证明:
2345手机导航 m.2345.com 的后台http://m.2345.com/manage/login.php存在弱口令(admin),进入了后台,如图1。在后台发现可以修改导航网站的网址,包括首页推荐网站的(修改后需要点击“清空缓存”按钮后才会在网站首页显示出来)。如果把导航网站的网址修改为钓鱼或非法网站网站的地址,网站的访问量大,后果会比较严重。
PS:后台http://m.2345.com/manage/login.php请用Chrome或IE打开,用Firefox打开会跳转到http://wap.2345.com/v2/,不知何故。
修复方案:
加强密码安全。
版权声明:转载请注明来源 txcbg@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2012-12-18 13:18
厂商回复:
低级漏洞,已经修补。
最新状态:
暂无