漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0139817
漏洞标题:全国大学生数学建模竞赛系统业务沦陷(可进入任意参赛队伍和赛区管理员帐号)
相关厂商:中国工业与应用数学学会
漏洞作者: 冰糖flow
提交时间:2015-09-11 22:39
修复时间:2015-10-29 08:46
公开时间:2015-10-29 08:46
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-11: 细节已通知厂商并且等待厂商处理中
2015-09-14: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开
简要描述:
2015年全国大学生数学建模竞赛,这个是国家级竞赛,且将在2015年9月11号正式开始(两天后),参赛选手需要通过该系统提交比赛论文。
但是系统某功能模块有严重逻辑缺陷,可以获取任意帐号的密码,从而理论上可以干扰比赛正常进行(比如恶意撤下某竞争对手的论文)
详细说明:
先说明一下这个比赛:
关于比赛系统的官方说明:
漏洞证明:
url:
问题在找回密码功能:
点找回密码链接,然后抓包:
密码出现!
登录:
可以想象问题的严重性,漏洞完全可以用于比赛作弊
修复方案:
比赛没几天就开始了,主办方自己快点解决啊
版权声明:转载请注明来源 冰糖flow@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-09-14 08:44
厂商回复:
CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报
最新状态:
暂无