当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045660

漏洞标题:广东某学院就业网存在安全漏洞致该校数万学生敏感信息泄漏

相关厂商:广东某学院

漏洞作者: admin1993

提交时间:2013-12-17 12:10

修复时间:2013-12-22 12:11

公开时间:2013-12-22 12:11

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-17: 细节已通知厂商并且等待厂商处理中
2013-12-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

身份证 家庭住址 联系电话沦陷 望重视啊

详细说明:

先来个贵校各网站的弱口令集合吧
http://stu.wyu.edu.cn/eclub/admin/
http://dept.wyu.edu.cn/wlyl/login.asp
http://dept.wyu.edu.cn/jidianxi/gdsyzx/admin_south/
密码均为admin
这是某一注入点
http://job.wyu.edu.cn/scda/picshow.php?act=intopic&aid=3 aid=3
通过此注入点可获取该校3w多学校敏感信息

漏洞证明:

http://job.wyu.edu.cn/manage/login.php 就业网后台地址

2.jpg


拿到密码后登录成功
3W多学生信息!!

QQ图片20131211125638.jpg


4.jpg


多么痛的领悟啊
此注入点是root权限 还能读到招生办的数据库……
没再继续渗透下去 没拿shell 也没动任何数据
夜已深 睡觉~~

修复方案:

望重视学生信息安全

版权声明:转载请注明来源 admin1993@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-22 12:11

厂商回复:

最新状态:

暂无