漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0139828
漏洞标题:趣医院某系统存在弱口令登录可以泄露大量信息
相关厂商:上海趣医网络科技有限公司
漏洞作者: 路人甲
提交时间:2015-09-08 22:15
修复时间:2015-10-24 13:44
公开时间:2015-10-24 13:44
漏洞类型:后台弱口令
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-08: 细节已通知厂商并且等待厂商处理中
2015-09-09: 厂商已经确认,细节仅向厂商公开
2015-09-19: 细节向核心白帽子及相关领域专家公开
2015-09-29: 细节向普通白帽子公开
2015-10-09: 细节向实习白帽子公开
2015-10-24: 细节向公众公开
简要描述:
趣医院(quyiyuan.com)[1] 是中国领先的智慧医疗技术及服务提供商上海京颐信息科技有限公司的合资品牌[2] ,是由上海趣医网络科技有限公司运营的专业从事移动互联网就医咨询与服务的专业机构,已获得弘晖资本、软银中国等多家专业投资基金投资。"趣医院"核心团队拥有11年医疗信息化行业的创业经验及创新管理思维。
"趣医院"通过网站及移动客户端的全平台覆盖,方便用户随时随地实现预约挂号、排班查询、报告查询、手机支付、叫号查询、医院导航、满意度调查、医患互动等“趣医院”的各项便利功能,帮助用户省心、省时、省力地去医院就医。
详细说明:
运维管理系统
cop.quyiyuan.com/APP
test/test
漏洞证明:
系统监控里面暴露好多医院的app后台管理地址
点击医院平台名称,可以看到医院负责人电话等信息
还有个慢SQL查看功能,可以查看sql语句,还暴露了数据库名称
修复方案:
修改弱口令
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-09-09 13:42
厂商回复:
涉及到一些敏感信息的泄露。感谢白帽子。
最新状态:
暂无