当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073646

漏洞标题:我是如何进入中国石油某公司内部网络的

相关厂商:中国石油工程建设公司

漏洞作者: 小五

提交时间:2014-08-24 09:37

修复时间:2014-10-08 09:38

公开时间:2014-10-08 09:38

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-24: 细节已通知厂商并且等待厂商处理中
2014-08-29: 厂商已经确认,细节仅向厂商公开
2014-09-08: 细节向核心白帽子及相关领域专家公开
2014-09-18: 细节向普通白帽子公开
2014-09-28: 细节向实习白帽子公开
2014-10-08: 细节向公众公开

简要描述:

无意中在某公共文档库中发现一篇文档,顺着文档OA培训的步骤进入到了该公司内部OA系统和邮箱系统。于是。。。。。。点到为止。

详细说明:

无意中在百度文库中发现一篇文档,顺着文档OA培训的步骤进入到了该公司内部OA系统和邮箱系统。因该用户级别较高,发现了很多内部信息、办公信息、公司员工信息等。

1百度文库.jpg


2百度文库.jpg

漏洞证明:

根据文档指示,选择了该公司某领导的名字为用户名(话说领导一般很忙,有可能会为了方便忘记改密码之类),进入到了内部OA中:

3中石油内部OA.jpg


4中石油内部资料.jpg


点击进入个人办公平台:

5中石油个人办公平台.jpg


6中石油邮箱.jpg


7中石油通讯录.jpg


修复方案:

1、找文库删除该文档,但当初又是谁分享的这一文档呢?
2、默认口令太弱,要么默认口令设置的强一些,要么首次登陆强制改密。

版权声明:转载请注明来源 小五@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-08-29 08:16

厂商回复:

CNVD未直接复现(暂未发现其他情况),未列入处置流程。

最新状态:

暂无