漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0127335
漏洞标题:论弱密码安全之获得深圳市各大企业(包括腾讯中兴等等)的重要信息(总经理电话身份证、企业报表、主要联系人个人信息及邮箱等各种信息)
相关厂商:广州省信息安全测评中心
漏洞作者: 路人甲
提交时间:2015-07-17 14:33
修复时间:2015-09-06 00:00
公开时间:2015-09-06 00:00
漏洞类型:基础设施弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-17: 细节已通知厂商并且等待厂商处理中
2015-07-21: 厂商已经确认,细节仅向厂商公开
2015-07-31: 细节向核心白帽子及相关领域专家公开
2015-08-10: 细节向普通白帽子公开
2015-08-20: 细节向实习白帽子公开
2015-09-06: 细节向公众公开
简要描述:
发现了诸如腾讯等一系列公司的企业信息!!!
深圳的企业家们,你们怎么看?
马总。。快来看这里!!
详细说明:
先是看到了这个洞:
发现这个网站的用户初始密码就写在前台
感觉弱口令会很多,去百度了一下:
找到会员名录,2000多条
每条都可以看到企业的企业编号(也就是企业的组织结构代码,全国唯一)
可以用爬虫爬下做成payload,里边大部分都是原始口令(也就是那个企业编号):
可以看到企业主要负责人姓名电话,以及法人电话、身份证号,企业报表,企业活动等信息:
还有一些证券公司、银行软件中心的账户:
包含了很多身份证以及工作邮箱、电话等信息。
后来一想深圳的大牛公司,百度了一下腾讯的编号,发现也能进:
能看到企业报表哦
还有中兴等等不贴了:
漏洞证明:
如上
修复方案:
。。。大牛们你们的信息我没有存。不要查我水表。。希望尽快修复
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-07-21 17:17
厂商回复:
非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。
最新状态:
暂无