人人网也有弱口令拉！ | wooyun-2012-06865| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-06865

漏洞标题：人人网也有弱口令拉！

漏洞作者： shine

提交时间：2012-05-09 15:29

修复时间：2012-06-23 15:29

公开时间：2012-06-23 15:29

漏洞类型：后台弱口令

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-05-09：细节已通知厂商并且等待厂商处理中
2012-05-09：厂商已经确认，细节仅向厂商公开
2012-05-19：细节向核心白帽子及相关领域专家公开
2012-05-29：细节向普通白帽子公开
2012-06-08：细节向实习白帽子公开
2012-06-23：细节向公众公开

简要描述：

人人网好象还没出过弱口令，开个张！

详细说明：

好象很久没维护了，Plone内容管理系统及Zope应用服务器搭配
此处弱口令：
  
http://wiki.dev.renren.com:8089/Plone
http://wiki.dev.renren.com:8089/manage

（Zope很健壮啊！）

（性能也稳定，快跑1000天了！）

漏洞证明：

敏感信息及可利用信息还是较多的，由于不了解Zope web服务器及Python语法，没多去看！
给出Plone一处利用，你们看合理不？有危害不？

这样算不算存储型XSS?

然后利用qq的小绿√ ，进行钓鱼，输入帐号选妹子！^-^

修复方案：

听说人人网的礼物是充气娃娃，很好奇，求！

版权声明：转载请注明来源 shine@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：20 (WooYun评价)

WooYun.org

漏洞概要 关注数(24) 关注此漏洞