漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05785
漏洞标题:域名注册公司弱口令上百域名可被修改
相关厂商:上海羽灿计算机科技有限公司
漏洞作者: 三叶草
提交时间:2012-04-05 10:50
修复时间:2012-05-20 10:51
公开时间:2012-05-20 10:51
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-04-05: 细节已通知厂商并且等待厂商处理中
2012-04-09: 厂商已经确认,细节仅向厂商公开
2012-04-19: 细节向核心白帽子及相关领域专家公开
2012-04-29: 细节向普通白帽子公开
2012-05-09: 细节向实习白帽子公开
2012-05-20: 细节向公众公开
简要描述:
弱口令成功进入某域名注册公司的万网域名管理后台
详细说明:
原本想旁注某个婚纱摄影网站,结果发现该网站托管在某域名公司提供的空间上(HZHOST管理系统),再次使用弱口令入侵,管理邮箱密码找回功能破解了改公司密码。没啥技术含量,就是想通过wooyun告知对方,自己不敢联系了...
漏洞证明:
主要是弱口令,以及管理邮箱弱智的密码找回问题...进入邮箱之后就简单了,通过万网的密码找回功能,进入到该公司域名管理界面...2600多个域名赤裸裸的暴露了...看到有金额,于是不敢继续测试了,同时也不敢联系该公司管理员,还是通过wooyun安全...
修复方案:
改密码/弱口令/密码提示问题/安全邮箱
版权声明:转载请注明来源 三叶草@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-04-09 12:57
厂商回复:
CNVD通过图片确认,且暂未获知事件处置所需信息,暂不纳入处置流程。
烦请三叶草补齐相关情况(如:受影响公司、万网注册的ID等),以便进一步处置。
根据所述情况,判断涉及商业公司域名,rank 5.
最新状态:
暂无