漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-095068
漏洞标题:甘肃省二级建造师考试用户大量个人信息泄漏
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2015-02-03 16:07
修复时间:2015-03-20 16:08
公开时间:2015-03-20 16:08
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-03: 细节已通知厂商并且等待厂商处理中
2015-02-06: 厂商已经确认,细节仅向厂商公开
2015-02-16: 细节向核心白帽子及相关领域专家公开
2015-02-26: 细节向普通白帽子公开
2015-03-08: 细节向实习白帽子公开
2015-03-20: 细节向公众公开
简要描述:
1、我就是不爽我打电话咨询你们报名问题时候的态度,说话太敷衍太冲。
2、毫无技术含量,成因是人员太懒,信息明文公示,寻回机制闹着玩。危害就是泄漏大量考生个人信息。
3、我还是不爽我打电话咨询你们报名问题时候的态度,说话太敷衍太冲。
详细说明:
。
我就是不爽我打电话咨询你们报名问题时候的态度,说话太敷衍太冲。
考生成绩为两年滚动累计全部通过即可。去年考过的考生需要查询自己成绩确定今年报名的考试科目。
猛戳http://www.gsszczx.com/W/HdContentDisp-3-287-20141021-489201.htm
最下面附件:2014年二级建造师合格人员名单及成绩.xls下载下来。
打开,sheet2,如图
2.3万身份证号码都看到了对吧。
随便选一个吧,28行,陈敏,620103198311066047。
猛戳http://www.gsszczx.com/www/HdUserLogin.asp
找回用户名和密码,开始闹着玩了。
然后回到登录页面,来,admin,admin,呃,错了
官方数据,原汁原味,biu~
然后呢,随意发挥一下吧?
。
危害现在为多少呢?
再来一勺吧。
因为上面的演示帐号今年没有报名,所以没法继续了,找一个今年报过名的来继续。
还是那个表,sheet2,,37行,管冬梅,622201198610215422,gsgdm/809109。
已经报考了,直接看图
考试是人社厅组织的,走吧,带上板凳瓜子。
猛戳http://61.178.20.106/wsbm/webRegister/index.aspx
我写了这么多。。。你们能给我包过吗?0.0
接下来,拿到这么多个人信息,还能干点什么呢?自由发挥吧
漏洞证明:
上面我觉得说多了。
修复方案:
办法太多了,你们自己猜。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-02-06 15:11
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给甘肃分中心,由其后续协调网站管理部门处置。
最新状态:
暂无