当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059495

漏洞标题:某证券公司邮件系统账号弱口令(离职人员邮箱未处理)

相关厂商:cncert

漏洞作者: 路人甲

提交时间:2014-05-05 12:05

修复时间:2014-06-19 12:06

公开时间:2014-06-19 12:06

漏洞类型:服务弱口令

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-05: 细节已通知厂商并且等待厂商处理中
2014-05-07: 厂商已经确认,细节仅向厂商公开
2014-05-17: 细节向核心白帽子及相关领域专家公开
2014-05-27: 细节向普通白帽子公开
2014-06-06: 细节向实习白帽子公开
2014-06-19: 细节向公众公开

简要描述:

安全意识是一个企业的良心。企业的规模越大,安全意识的重要性就更应该强调。
某日不小心访问到某个证券公司,不小心进入一个邮箱,不小心看到了........

详细说明:

某个刚发来的邮件标题:"请提供收款账号和姓名,稍后打款给您?" 差点就引发了一个血案...

liuwei
***弱口令马赛克***


通过邮件内容看,该用户之前在东北证券应该是财务部门?
利用该账号发送欺诈,钓鱼邮件,可以做什么呢?

b1.jpg


从邮件内容看,发送人是某电商。

2.png


b3.jpg

漏洞证明:

某个刚发来的邮件标题:"请提供收款账号和姓名,稍后打款给您?" 差点就引发了一个血案...

liuwei
***弱口令马赛克***


通过邮件内容看,该用户之前在东北证券应该是财务部门?
利用该账号发送欺诈,钓鱼邮件,可以做什么呢?

b1.jpg


从邮件内容看,发送人是某电商。

2.png


b3.jpg

修复方案:

问题1:
该邮件系统的安全性低,无法防止外部暴力破解或者疑似攻击。
问题2:
登陆后发现该账号所负责人应该是出于离职账号,但是仍然可以登陆。
问题3:
当人员离职办理手续时,应该对相应负责人的系统账号进行及时清理或者暂停使用,只是对账户邮件内容进行删除。
问题4:
人事部没有定期将人员离职清单发送至运维部门。
千里之提,毁于蚁穴

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-05-07 21:58

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT通报给证券行业信息化主管部门处置,由其后续协调网站管理单位处置。

最新状态:

暂无