当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106592

漏洞标题:钱方某重要业务敏感信息泄露(可控制多个业务系统)

相关厂商:北京钱方互动科技有限公司

漏洞作者: 路人甲

提交时间:2015-04-08 15:27

修复时间:2015-05-27 23:46

公开时间:2015-05-27 23:46

漏洞类型:服务弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-08: 细节已通知厂商并且等待厂商处理中
2015-04-12: 厂商已经确认,细节仅向厂商公开
2015-04-22: 细节向核心白帽子及相关领域专家公开
2015-05-02: 细节向普通白帽子公开
2015-05-12: 细节向实习白帽子公开
2015-05-27: 细节向公众公开

简要描述:

一直在关注你们的产品,觉得萌萌哒。
前几天在群里看到有人发了你们微信公众号的宣传,据说...
你的网络安全吗?经过Sobug测试才是真的安全......
http://mp.weixin.qq.com/s?__biz=MjM5MjcxMjQ3MQ==&mid=203609214&idx=2&sn=7a5156142c5683d5f650f40833a0513b&3rd=MzA3MDU4NTYzMw==&scene=6#rd
以前蛮喜欢你们的产品的,但是 之前不是好好做产品,不要吹这么大的牛好嘛....

详细说明:

大数据时代,关键点来了

zhaowei03@qfpay.com zw2009486049


1.jpg


登陆后发现是这个妹子,负责产品运营的。

2.jpg


结果发现邮件内容中很多敏感的数据呀。
各种系统的管理员账户密码等等。。。。

3.jpg


七牛云账户密码,登陆进来,发现你们好土豪.... 这么多资源。

4.jpg


5.jpg


邮件内容中搜索下“密码”

6.jpg


7.jpg


8.jpg


漏洞证明:

9.jpg


10.jpg

修复方案:

不要处罚这个妹子...
因为其他人的账号也不一定是安全的..
好好做产品,不要吹牛b

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-04-12 23:45

厂商回复:

厂商内部账号安全问题要加强,需敲警钟。

最新状态:

暂无