当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0124088

漏洞标题:陕西师范大学信息管理不当可进OA及校内图书资源等

相关厂商:陕西师范大学

漏洞作者: Sia_water

提交时间:2015-07-02 14:20

修复时间:2015-07-07 14:22

公开时间:2015-07-07 14:22

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-02: 细节已通知厂商并且等待厂商处理中
2015-07-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

类型算是敏感信息泄露么。。

详细说明:

http://www.snnu.edu.cn/default.php 首页
https://sslvpn.snnu.edu.cn/por/login_psw.csp? ssl-vpn,提示非常明显需使用工号登录,之后通过搜索引擎寻找工号

shifan2.png


非常贴心,,都整理好了

shifan3.png


运气比较好,找了几个工号试了一下,密码也是用工号试的,可以登录,然后就是把工号扒下来,账号密码都用工号跑一边,不少都可以登录

1980036
1979014
1989011
1984004
2004103
1989021
1993020
1999041
1986074
1989072
1986068
2002023
2006068
2007055
1982034
1984067
1989022
1989046
1992049
1993056
1993062
1993064
1993063
1995040
2002100
1974003
1981073
1979003
1996009
2004111
1975019
1980001
1994024
1997011
1986018
2002024
2003002
2005001
1981001
1977038
1982109
1998043
1978038
1978044
1978047
1979008
1980004
1980008
1980010
1980011
1980021
1980027
1980028
1980032
1980040
1980041

这是一部分 可以登录vpn的账号
其余系统也是通用的账号如OA http://oa.snnu.edu.cn/Home/Login
一卡通 http://door.snnu.edu.cn/Home/Index
短信通 http://hqdt.snnu.edu.cn/sms 试了几个可惜权限太小

漏洞证明:

shifanoa.png


youxiang.png

邮箱拿校长的简单试了下。。。没能登录

shifanyikatong.png


一卡通平台,能看到身份证什么的,1982022应该是管理员的账号。。密码改了。。也是没能登录

shifantushuguan.png


还有my.snnu.edu.cn 系统也需要在vpn下访问,也是需要账号的,跟工号一样。就不上图了。。

修复方案:

不太清楚。。加强管理?

版权声明:转载请注明来源 Sia_water@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-07 14:22

厂商回复:

最新状态:

暂无