当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05467

漏洞标题:社工进入56网客户支持管理系统 AND 发现 SQL注入

相关厂商:56网

漏洞作者: 明.

提交时间:2012-03-22 17:01

修复时间:2012-05-06 17:02

公开时间:2012-05-06 17:02

漏洞类型:管理员密码习惯不够好

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-03-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通过社工进入56网客户支持管理系统,在里面的客户搜索发现 SQL注入,
因为怕出事 没进一步渗透。

详细说明:

通过某手段拿到此地址,http://mis.corp.56.com/customer/userinfo.php?user=admin
然后 我通过 搜索引擎发现 管理员还有另外一个邮箱 mar**ly@gmail.com,在社工库里面发现了此邮箱的密码, 然后发现 密码与zh****@corp.56.com 的密码一样,进入了56的WEB MAIL ,之后 通过 56网客户支持管理系统的找回密码模块 重置了密码,进入。。
然后发现 客户搜索的页面也有SQL注入。
因为 此系统里面包含了非常多的客户和其他工作人员的信息,非常危险。所以请管理员尽快修复。

漏洞证明:

修复方案:

主要是管理员 密码习惯的问题。

版权声明:转载请注明来源 明. @乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝