当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123101

漏洞标题:厦门市某敏感部门微信设计存在缺陷造成敏感信息泄漏

相关厂商:某市公安局

漏洞作者: 路人甲

提交时间:2015-06-29 10:54

修复时间:2015-08-13 13:02

公开时间:2015-08-13 13:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-29: 细节已通知厂商并且等待厂商处理中
2015-06-29: 厂商已经确认,细节仅向厂商公开
2015-07-09: 细节向核心白帽子及相关领域专家公开
2015-07-19: 细节向普通白帽子公开
2015-07-29: 细节向实习白帽子公开
2015-08-13: 细节向公众公开

简要描述:

密码等信息泄漏,进一步可用于诈骗,推送虚假信息

详细说明:

厦门警方

QQ截图20150627145720.jpg


QQ图片20150627145902.jpg


开启抓包模式
点击界面正中的微信大厅,注意这个链接

http://www.xmtcs.fjxm110.gov.cn/xmga/web/listWeiXinsExt3


QQ截图20150627150242.jpg

漏洞证明:

wxh":"xm_police","wxpwd":"189e8165046335***758f3ee97adbda1"
wxh":"[email protected]","wxpwd":"6108c3b06a184c1f11***b730fc08299"
wxh":"[email protected]","wxpwd":"063c9938f4d4e6c6218***7e83e67d2c"
wxh":"xmjm_police","wxpwd":"a55c0924ffee74f46bf08f9f660f1***"
wxh":"[email protected]","wxpwd":"93b33f069501b39afbdf535472e4***b"
wxh":"xmhlgafj","wxpwd":"35b0ba6e74432a0621dbd81109***f13"
wxh":"[email protected]","wxpwd":"1d464a17b101d41094ffd8***a767b5f"
wxh":"Bsspaxmg","wxpwd":"d6b0ab***8f514db9a6d85de160a"
wxh":"pagly110","wxpwd":"c4827bb7792***af854491ee6"
wxh":"[email protected]","wxpwd":"3f7da6ea4***25133ce716f4bfe8970"
wxh":"yundangpcs","wxpwd":"7dde5b8c87e0714de729***39250dd"
wxh":"[email protected]","wxpwd":"200820e3227815ed1***31e7e0d2"
wxh":"[email protected]","wxpwd":"3e551c42e9f098fd18816***eeeea"
wxh":"[email protected]","wxpwd":"33b0692d3690655df18d203a***74"
wxh":"[email protected]","wxpwd":"ec7b1be1062ec031031d7fe8e****e49a"


大部分密码都是可解的

QQ截图20150627152529.jpg


QQ截图20150627152607.jpg


拿一个破解好的尝试登录公众号
厦门湖里派出所[email protected]

QQ截图20150627152836.jpg


QQ截图20150627152940.jpg


QQ截图20150627153016.jpg


甚至有些破解出来就是邮箱帐号、新浪微博官微,危害什么的你懂的

修复方案:

不该显示的字段不要显示,
强口令

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-06-29 13:00

厂商回复:

感谢提交!!
验证确认所描述的问题,已通知其修复。

最新状态:

暂无