当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025264

漏洞标题:中国联通陕西分公司某业务系统XSS&后台弱口令&信息泄露

相关厂商:中国联通陕西分公司

漏洞作者: godlong

提交时间:2013-06-06 17:47

修复时间:2013-07-21 17:47

公开时间:2013-07-21 17:47

漏洞类型:基础设施弱口令

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-06: 细节已通知厂商并且等待厂商处理中
2013-06-10: 厂商已经确认,细节仅向厂商公开
2013-06-20: 细节向核心白帽子及相关领域专家公开
2013-06-30: 细节向普通白帽子公开
2013-07-10: 细节向实习白帽子公开
2013-07-21: 细节向公众公开

简要描述:

中国联通陕西分公司某业务系统XSS,可以获取后台地址和后台权限,导入信息欺骗工作人员,同时还造成3W参加活动的人员信息泄露(由于活动物品是邮寄,所以近3w数据泄露都是真实有效的。)

详细说明:

中国联通陕西分公司某业务系统XSS,可以获取后台地址和后台权限,导入信息欺骗工作人员,同时还造成3W参加活动的人员信息泄露(由于活动物品是邮寄,所以近3w数据泄露都是真实有效的。)
起因是这样的:某日有童鞋跟我说陕西联通免费发流量卡了~遂围观之,然后发现申请表单可以猥琐下,然后就插了它一下...就没去管了。

100101.png


10010xss.png


反正插插又不会怀孕,不想第二天就收到了cookie,包括了后台的路径,用cookie请求/showphoneinfo//index.jsp进入后台,瞬间菊花通畅!

10010cookie伪造登陆.png


另外,后台admin/admin的密码组合也改了吧~
还有http://123.139.154.156/showphoneinfo/cardinssuerdetailshow.jsp这个页面未授权访问。
活动还没结束呢,这些数据对申请者都是一个影响炸弹,万一哪个不怀好意的泄露了,申请者被砍了你们负责吗?:)

漏洞证明:

10010信息泄露.png


如图信息泄露和后台XSS

10010xss1.png


另外可以导入发卡数据...不知道能否收到卡~

修复方案:

弱口令改口令,申请表单限制长度,过滤html标签等等!后台限制IP使用。
其他更安全的修复方法开发人员应该懂的!顺便求联通发点化肥(话费)来花花!:)

版权声明:转载请注明来源 godlong@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-06-10 22:25

厂商回复:

CNVD确认所述情况(对于XSS盲打,限制时间关系,不直接复现),已经在7日转由CNCERT下发给陕西分中心,同时抄报中国联通集团公司。
按同类事件进行评分,rank 10

最新状态:

暂无