当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0155027

漏洞标题:慧聪网行业人才招聘登录位置设计不当可撞库用户

相关厂商:慧聪网

漏洞作者: 路人甲

提交时间:2015-11-22 18:31

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-22: 细节已通知厂商并且等待厂商处理中
2015-11-23: 厂商已经确认,细节仅向厂商公开
2015-12-03: 细节向核心白帽子及相关领域专家公开
2015-12-13: 细节向普通白帽子公开
2015-12-23: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

慧聪网行业人才招聘登录位置设计不当可撞库用户

详细说明:

http://hr.hc360.com/hr/turbine/template/HrLogin.html用户名密码明文传输,无验证码限制

1.png


2.png


测试撞库成功,部分成功帐号证明:

3.png


372909885	13111160488	2170
kotdling	564335	2170
158603836	hrq158603836	2170
13000064	831124	2170
cxselang	wcx112517	2170
280518209	123654	2170
l1nqi302	l1nqi5407	2170
79715720	500668	2170
376269842	2259638	2170
shaoke98	1314521	2170
xuze54321	20050505	2170
sbvfhpte	4718596236	2170
wangrenye	xialiang	2170
312791285	123789	2170
xyang431	x4335286	2170
365789251	chenguibin	2170
361748963	zaidaowoqq	2170
53032820	988125	2170
pengx001	xp19890814	2170
caibaofu	5625000	2170
sing6618	zy101249	2170
75498637	3141592653	2170
zaomao14	a999999999	2170
liqinpla	857130	2170
337000945	73748096	2172
345153718	83101421	2172
120815903	16899199	2172
416240766	810210	2172
diudiuant	fengyi233	2172
674888582	773136761	2172
411203319	yanqiaona	2172
578280900	26755805	2172
344804819	wac5423710	2172
bxcrasher	871217cs	2172
195500131	840315	2172
195500131	840315	2172
858278880	a5201314	2172
261048494	59072543	2172
408154232	8489392332	2172
zj3161727	52103344	2172
306963846	901213	2172
308957394	a8606501	2172
350686204	6670150	2172
156439223	19830615	2172
165578584	837677	2172
499284529	775825800	2172
421392729	415469	2172
549731986	19890402	2172
371455120	5870335	2172
327189766	155799	2172
530116754	19861220	2172
287407473	8770572	2172
barrystar	maggie	2172
593212777	13133580515	2172
280851419	123456789sky	2172
1013175641	13812600817	2172
100288163	5201314	2172
x547989699	5421516	2172
240610021	100212406	2172
caipy1986	215553157	2172
1017654325	98188729	2174
1017654325	98188729	2174
bai3116921	85837363	2174
shuengying	caiyuan123	2174
liyong1112	liyong	2174
jayjunjing	1988710	2174
songzuokun	910419	2174
rongbin044	44524171	2174
luokui5200	416011	2174
w510513036	yu52059212	2174
jayshiying	7585211314	2174


行业招聘的话,登录发现敏感信息泄漏蛮严重。。

1.png


2.png

漏洞证明:

http://hr.hc360.com/hr/turbine/template/HrLogin.html用户名密码明文传输,无验证码限制

1.png


2.png


测试撞库成功,部分成功帐号证明:

3.png


372909885	13111160488	2170
kotdling	564335	2170
158603836	hrq158603836	2170
13000064	831124	2170
cxselang	wcx112517	2170
280518209	123654	2170
l1nqi302	l1nqi5407	2170
79715720	500668	2170
376269842	2259638	2170
shaoke98	1314521	2170
xuze54321	20050505	2170
sbvfhpte	4718596236	2170
wangrenye	xialiang	2170
312791285	123789	2170
xyang431	x4335286	2170
365789251	chenguibin	2170
361748963	zaidaowoqq	2170
53032820	988125	2170
pengx001	xp19890814	2170
caibaofu	5625000	2170
sing6618	zy101249	2170
75498637	3141592653	2170
zaomao14	a999999999	2170
liqinpla	857130	2170
337000945	73748096	2172
345153718	83101421	2172
120815903	16899199	2172
416240766	810210	2172
diudiuant	fengyi233	2172
674888582	773136761	2172
411203319	yanqiaona	2172
578280900	26755805	2172
344804819	wac5423710	2172
bxcrasher	871217cs	2172
195500131	840315	2172
195500131	840315	2172
858278880	a5201314	2172
261048494	59072543	2172
408154232	8489392332	2172
zj3161727	52103344	2172
306963846	901213	2172
308957394	a8606501	2172
350686204	6670150	2172
156439223	19830615	2172
165578584	837677	2172
499284529	775825800	2172
421392729	415469	2172
549731986	19890402	2172
371455120	5870335	2172
327189766	155799	2172
530116754	19861220	2172
287407473	8770572	2172
barrystar	maggie	2172
593212777	13133580515	2172
280851419	123456789sky	2172
1013175641	13812600817	2172
100288163	5201314	2172
x547989699	5421516	2172
240610021	100212406	2172
caipy1986	215553157	2172
1017654325	98188729	2174
1017654325	98188729	2174
bai3116921	85837363	2174
shuengying	caiyuan123	2174
liyong1112	liyong	2174
jayjunjing	1988710	2174
songzuokun	910419	2174
rongbin044	44524171	2174
luokui5200	416011	2174
w510513036	yu52059212	2174
jayshiying	7585211314	2174


行业招聘的话,登录发现敏感信息泄漏蛮严重。。

1.png


2.png

修复方案:

验证码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-11-23 13:59

厂商回复:

同上一个漏洞,非常感谢

最新状态:

暂无