漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-057311
漏洞标题:华为IPTV运维不当导致系统重要敏感信息泄漏(包括用户个人信息)
相关厂商:华为技术有限公司
漏洞作者: nzk1912
提交时间:2014-04-16 17:12
修复时间:2014-05-31 17:12
公开时间:2014-05-31 17:12
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-16: 细节已通知厂商并且等待厂商处理中
2014-04-17: 厂商已经确认,细节仅向厂商公开
2014-04-27: 细节向核心白帽子及相关领域专家公开
2014-05-07: 细节向普通白帽子公开
2014-05-17: 细节向实习白帽子公开
2014-05-31: 细节向公众公开
简要描述:
在网上找资料时,无意中发现一篇文档,里面有一个网址,并附了一个管理员用户名密码表。进行尝试,部分密码是正确的。登录上去看看吧,果然看到了一些用户信息。
包括用户姓名、电话号码、身份证信息 等重要的客户信息。
详细说明:
看漏洞证明部分吧。
漏洞证明:
1、网上查资料,在百度文档发现一篇文档 http://wenku.baidu.com/link?url=t6dqEzXpjWsymP099CfBhFbSKFzUbG2lmVvQ6wai6yg0jNTaQAaz9eive2E_jFqHWOaTUgUuse-ZSI7g7fTwdFwyoYhDmXU-M9ExNzkPYia
测试网址:http://122.229.6.32:8082/iptv
按上图表格中试下密码,后几个都是正确的,然后。。就这样进去了,进去了就看看吧
所有页面的查询都需要输入用户的帐号,帐号哪来呢。。。正好有一个历史记录查询界面,点一下,帐号信息就出来了。
再到机顶盒解绑的页面用帐号来查一下,查到了,而且用户名还要可以链接:
再点开看看,用户信息就出来了。
别的还没有挖,新手,也不太会挖,先发个简单的。
修复方案:
修改默认密码。
敏感信息,管理员不需要的信息,不要显示。
版权声明:转载请注明来源 nzk1912@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-04-17 11:06
厂商回复:
属于客户内部人为泄露资料,问题已经修复,感谢白帽子反馈漏洞
最新状态:
暂无