漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0107740
漏洞标题:联动天下IDC客服安全意识不足(劫持政府一gov站实例)
相关厂商:72e.net
漏洞作者: 孤梦°
提交时间:2015-04-14 09:59
修复时间:2015-05-30 11:00
公开时间:2015-05-30 11:00
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-14: 细节已通知厂商并且等待厂商处理中
2015-04-15: 厂商已经确认,细节仅向厂商公开
2015-04-25: 细节向核心白帽子及相关领域专家公开
2015-05-05: 细节向普通白帽子公开
2015-05-15: 细节向实习白帽子公开
2015-05-30: 细节向公众公开
简要描述:
联动天下客服安全意识不足 (域名劫持社工实例) 社工某县一备案的教育局Gov域名为例
详细说明:
联动天下客服安全意识不足 (域名劫持社工实例) 社工某县一备案的教育局Gov域名为例 域名地址:www.yyjyj.gov.cn
漏洞证明:
社工某县教育局 gov网站为例 网站地址:www.yyjyj.gov.cn 原因就是客服安全意思太低了 几句话就社下了 下面:看我和客服的对话:
中国XD行动小组a'ゞRay 11:02:14
www.yyjyj.gov.cn
中国XD行动小组a'ゞRay 11:02:33
添加别名
中国XD行动小组a'ゞRay 11:02:35
www到这个:252.web.51el.cn
联动^_^刘雯瑜 11:02:46
解析吗?
中国XD行动小组a'ゞRay 11:02:59
是啊
中国XD行动小组a'ゞRay 11:03:04
把别名换了
中国XD行动小组a'ゞRay 11:03:07
我不会弄
中国XD行动小组a'ゞRay 11:03:12
www到这个:252.web.51el.cn
中国XD行动小组a'ゞRay 11:03:19
别名换成这个:252.web.51el.cn
联动^_^刘雯瑜 11:03:23
好的
中国XD行动小组a'ゞRay 11:03:36
换完截图给我
中国XD行动小组a'ゞRay 11:03:37
谢谢
联动^_^刘雯瑜 11:04:00
您问过您专员没?
中国XD行动小组a'ゞRay 11:04:10
你帮忙解析一下
中国XD行动小组a'ゞRay 11:04:12
就行了
中国XD行动小组a'ゞRay 11:04:26
曾少斌不会说话
中国XD行动小组a'ゞRay 11:04:28
所以找你
中国XD行动小组a'ゞRay 11:05:14
好了吗
联动^_^刘雯瑜 11:05:23
稍等
联动^_^刘雯瑜 11:07:02
中国XD行动小组a'ゞRay 11:07:12
嗯嗯
中国XD行动小组a'ゞRay 11:07:13
好的 谢谢啊 麻烦了
中国XD行动小组a'ゞRay 11:07:23
您去忙吧
社工这个gov站并无恶意 就是想看看客服怎么样 以后买域名该不该来这里 果然这个域名商的客服都不行 给他域名她就解析
修复方案:
拉去培训! 认真对待客户的域名 不要别人随便丢一个域名 说两句话你就给人解析 损坏用户域名信息 到时候谁还敢在你这里买域名呢。
版权声明:转载请注明来源 孤梦°@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2015-04-15 10:58
厂商回复:
感谢您的反馈,我司会调整工作流程和策略,解决这个问题
最新状态:
暂无