漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-056985
漏洞标题:川渝中烟工业公司后台弱口令
相关厂商:川渝中烟工业公司
漏洞作者: 木糖醇
提交时间:2014-04-14 11:28
修复时间:2014-05-29 11:29
公开时间:2014-05-29 11:29
漏洞类型:后台弱口令
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
川渝中烟工业公司后台弱口令,可查询修改删除全国用户、管理权限等操作。
详细说明:
漏洞地址:
http://sellwt.cytobacco.com/login.do?method=init
查看:大区管理人员操作说明可以看到默认口令1
通过模糊检索等查到中心人员之一:黄家有,用默认口令测试,登陆成功!
登陆后各种操作畅通无阻,修改自己权限,添加管理帐号等等……
这里就好像是把自家的钥匙放在门口,还告诉别人钥匙的位置,让别人自己主动进自己家一样。而且不乏一些用户123456的口令存在,还是中心的呢。
稍微动用下社工或者别的动作话,估计这个漏洞会让贵公司头疼一阵吧?
呵呵,我只是进去逛了下,别差我水表啊,哈哈……,给礼物的话还是可以接受的。。
漏洞证明:
更多证明详细说明中已经说过了,这里就不再赘述了。
修复方案:
全国公司通知修改弱口令,默认口令!
版权声明:转载请注明来源 木糖醇@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝