当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103136

漏洞标题:全峰快递后台设计缺陷导致信息泄露

相关厂商:全峰快递

漏洞作者: SheepGuest

提交时间:2015-03-25 12:54

修复时间:2015-05-14 08:40

公开时间:2015-05-14 08:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-25: 细节已通知厂商并且等待厂商处理中
2015-03-30: 厂商已经确认,细节仅向厂商公开
2015-04-09: 细节向核心白帽子及相关领域专家公开
2015-04-19: 细节向普通白帽子公开
2015-04-29: 细节向实习白帽子公开
2015-05-14: 细节向公众公开

简要描述:

回馈社会、奉献爱心

详细说明:

首先在bing搜索site:qfkd.com.cn xls查看此网站的表格是否被搜索引擎收录


1.png


毕竟已经被曝光,我这里就不打马了,怎么也算内部通讯录,就不能放一个安全点的地方嘛?


2.png


随便挑出一位员工开刀,就她了,看名像个妹子..


3.png


---------------------- 邪恶分割线 ---------------------------

说到利用的话很简单的,访问http://oa.qfkd.com.cn  这个是办公后台,点击找回密码,看了下布局,惊奇的发现URL可能存在这某种隐患...


4.png


输入用户名及真实姓名后进行提交,果然...,这难道是给外人设计的?


5.png


填写新密码,GO GO GO!  在这里还要感谢全峰,好久没看到过这样的漏洞了..


6.png


后台的模板还是不错的,是不是就为了让我们观赏后台特意准备的漏洞呢?


7.png


好了,剩下的也没什么了..赶紧修复吧...


漏洞证明:

8.png


9.jpg

修复方案:

改正,我写的还算详细...

版权声明:转载请注明来源 SheepGuest@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-03-30 08:39

厂商回复:

CNVD确认并复现所述情况,由CNVD按以往尝试的公开渠道向网站管理单位通报.

最新状态:

暂无