当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101386

漏洞标题:江西省税务局纳税客户端设计逻辑缺陷可被下载配置(或可影响全国所有纳税组织)

相关厂商:国家互联网安全中心

漏洞作者: 刘洪泽

提交时间:2015-03-16 19:08

修复时间:2015-05-04 16:32

公开时间:2015-05-04 16:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-16: 细节已通知厂商并且等待厂商处理中
2015-03-20: 厂商已经确认,细节仅向厂商公开
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-05-04: 细节向公众公开

简要描述:

三个问题就可以跑到通行密码,验证逻辑问题,内部人员是不是想着客户端是给自己用的就大意了!

详细说明:

在这里下载
http://www.jxds.gov.cn/portalV3/site/site/portal/jx/content_index.portal[contentId=268734][categoryId=3999][siteName=jx][categoryCode=001027001006002]

QQ图片20150314200508.png


下载安装完

QQ图片20150314202054.png


账号admin 密码123456

QQ图片20150314200814.png


可以选择所有的纳税人
也就是说我们只要得到识别号+名称就可以设置通行密码

QQ图片20150314200904.png


只要打入纳税人识别号+单位名称就可以验证了
然后去补下脑http://baike.1688.com/doc/view-d22569261.html
例如411327176638773 第1-6为数字为河南省南阳市的税务代码

7-15位数字为组织机构代码 这是重点


输入这个果然。

QQ图片20150314203722.png


现在我们还缺单位名称
我要弱弱地说 组织机构代码是可以查询的
查询URL:http://www.nacao.org.cn/
以这个411327176638773为例
结果我擦 假日不能查询,我尼玛就一月一天假,汗
如果后天被可爱的审核君看到,麻烦去查一下,然后看看通行密码是个什么玩意,我猜不到、、

QQ图片20150314203030.png


好了,就这样吧 如果要是收集一下应该可以连接很多的
这是逻辑问题的,应该有严格限制,比如短信之类的。而不应该是以公开的信息

漏洞证明:

这个软件虽然是公开下载
但是你用默认密码就不好了还让大众都知道
你应该效仿中移动的缴费客户端,虽然提供下载,不过如果想以这个机构连接系统,是需要短信或密保验证的
而这个税务客户端验证方式只有公开了的组织代码
还有软件打开密码 别弄的谁都知道好伐,要低调的告诉缴纳人就好,应该是一个ip一个密码的~
还是限制不严

QQ图片20150314203722.png

修复方案:

#严格限制

版权声明:转载请注明来源 刘洪泽@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-03-20 16:32

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给江西分中心,由其后续协调网站管理单位处置.

最新状态:

暂无