当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019535

漏洞标题:电信某省的“平安e家”视频监控网站弱密码可暴力猜解

相关厂商:中国电信

漏洞作者: 蛋炒饭

提交时间:2013-03-05 10:25

修复时间:2013-04-19 10:26

公开时间:2013-04-19 10:26

漏洞类型:服务弱口令

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-05: 细节已通知厂商并且等待厂商处理中
2013-03-07: 厂商已经确认,细节仅向厂商公开
2013-03-17: 细节向核心白帽子及相关领域专家公开
2013-03-27: 细节向普通白帽子公开
2013-04-06: 细节向实习白帽子公开
2013-04-19: 细节向公众公开

简要描述:

登陆界面没有验证码!暴力猜解哈哈。
最重要的是,该平台几乎都是弱密码。
登入网站就能在线看到摄像头(一般都是家庭用户安防用的),可以在线调节拍摄角度(蛮先进的说),可是万一被入侵者转到房间内,看到少儿不宜的镜头就不好了。
本来是用于安全防范的,但是隐私啊~~~!!这可以成就多少雷冠希呢?哈哈

详细说明:

QQ截图20130304234103.png


来自于江苏电信平安e家的视频监控网站
一、登陆界面没有验证码,为暴力猜解提供了方便。
二、很多用户的默认密码是原始密码,相同的6位数字111111,过于简单。
如果暴力猜解,简直易如反掌。

漏洞证明:

时间有限,随便扫了几个。

QQ截图20130304234046.png

QQ截图20130304233951.png

QQ截图20130304232908.png

修复方案:

一、登陆页面加验证码
二、让过于简单的密码改掉

版权声明:转载请注明来源 蛋炒饭@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-03-07 22:44

厂商回复:

CNVD确认并复现所述情况,已经在6日转由CNCERT直接协调中国电信集团公司,由其下发工单到属地分公司处置。
对于弱口令事件,不按漏洞标准评分,按影响危害,rank 8

最新状态:

暂无