当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127335

漏洞标题:论弱密码安全之获得深圳市各大企业(包括腾讯中兴等等)的重要信息(总经理电话身份证、企业报表、主要联系人个人信息及邮箱等各种信息)

相关厂商:广州省信息安全测评中心

漏洞作者: 路人甲

提交时间:2015-07-17 14:33

修复时间:2015-09-06 00:00

公开时间:2015-09-06 00:00

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-17: 细节已通知厂商并且等待厂商处理中
2015-07-21: 厂商已经确认,细节仅向厂商公开
2015-07-31: 细节向核心白帽子及相关领域专家公开
2015-08-10: 细节向普通白帽子公开
2015-08-20: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

发现了诸如腾讯等一系列公司的企业信息!!!
深圳的企业家们,你们怎么看?
马总。。快来看这里!!

详细说明:

先是看到了这个洞:

 WooYun: 看我如何获得移联支付总经理手机号的(泄露大量企业内部敏感信息) 


http://app.ssia.org.cn/


发现这个网站的用户初始密码就写在前台

QQ截图20150717124731.png


感觉弱口令会很多,去百度了一下:

QQ截图20150717130244.png


找到会员名录,2000多条

QQ截图20150717125631.png


每条都可以看到企业的企业编号(也就是企业的组织结构代码,全国唯一)
可以用爬虫爬下做成payload,里边大部分都是原始口令(也就是那个企业编号):
可以看到企业主要负责人姓名电话,以及法人电话、身份证号,企业报表,企业活动等信息:

QQ截图20150717125406.png


QQ截图20150717125524.png


QQ截图20150717124440.png


还有一些证券公司、银行软件中心的账户:

QQ截图20150717131033.png


包含了很多身份证以及工作邮箱、电话等信息。

QQ截图20150717131356.png


后来一想深圳的大牛公司,百度了一下腾讯的编号,发现也能进:

QQ截图20150717131859.png


能看到企业报表哦

QQ截图20150717132343.png


QQ截图20150717132608.png


还有中兴等等不贴了:

QQ截图20150717133009.png


漏洞证明:

如上

修复方案:

。。。大牛们你们的信息我没有存。不要查我水表。。希望尽快修复

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-21 17:17

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。

最新状态:

暂无