当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107740

漏洞标题:联动天下IDC客服安全意识不足(劫持政府一gov站实例)

相关厂商:72e.net

漏洞作者: 孤梦°

提交时间:2015-04-14 09:59

修复时间:2015-05-30 11:00

公开时间:2015-05-30 11:00

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-14: 细节已通知厂商并且等待厂商处理中
2015-04-15: 厂商已经确认,细节仅向厂商公开
2015-04-25: 细节向核心白帽子及相关领域专家公开
2015-05-05: 细节向普通白帽子公开
2015-05-15: 细节向实习白帽子公开
2015-05-30: 细节向公众公开

简要描述:

联动天下客服安全意识不足 (域名劫持社工实例) 社工某县一备案的教育局Gov域名为例

详细说明:

联动天下客服安全意识不足 (域名劫持社工实例) 社工某县一备案的教育局Gov域名为例 域名地址:www.yyjyj.gov.cn

漏洞证明:

社工某县教育局 gov网站为例 网站地址:www.yyjyj.gov.cn 原因就是客服安全意思太低了 几句话就社下了 下面:看我和客服的对话:
中国XD行动小组a'ゞRay 11:02:14
www.yyjyj.gov.cn
中国XD行动小组a'ゞRay 11:02:33
添加别名
中国XD行动小组a'ゞRay 11:02:35
www到这个:252.web.51el.cn
联动^_^刘雯瑜 11:02:46
解析吗?
中国XD行动小组a'ゞRay 11:02:59
是啊

中国XD行动小组a'ゞRay 11:03:04
把别名换了
中国XD行动小组a'ゞRay 11:03:07
我不会弄
中国XD行动小组a'ゞRay 11:03:12
www到这个:252.web.51el.cn
中国XD行动小组a'ゞRay 11:03:19
别名换成这个:252.web.51el.cn
联动^_^刘雯瑜 11:03:23
好的

中国XD行动小组a'ゞRay 11:03:36
换完截图给我
中国XD行动小组a'ゞRay 11:03:37
谢谢
联动^_^刘雯瑜 11:04:00
您问过您专员没?
中国XD行动小组a'ゞRay 11:04:10
你帮忙解析一下
中国XD行动小组a'ゞRay 11:04:12
就行了
中国XD行动小组a'ゞRay 11:04:26
曾少斌不会说话
中国XD行动小组a'ゞRay 11:04:28
所以找你
中国XD行动小组a'ゞRay 11:05:14
好了吗
联动^_^刘雯瑜 11:05:23
稍等
联动^_^刘雯瑜 11:07:02

1.png


中国XD行动小组a'ゞRay 11:07:12
嗯嗯
中国XD行动小组a'ゞRay 11:07:13
好的 谢谢啊 麻烦了
中国XD行动小组a'ゞRay 11:07:23
您去忙吧
社工这个gov站并无恶意 就是想看看客服怎么样 以后买域名该不该来这里 果然这个域名商的客服都不行 给他域名她就解析

psb.jpg


psb.png


修复方案:

拉去培训! 认真对待客户的域名 不要别人随便丢一个域名 说两句话你就给人解析 损坏用户域名信息 到时候谁还敢在你这里买域名呢。

版权声明:转载请注明来源 孤梦°@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-04-15 10:58

厂商回复:

感谢您的反馈,我司会调整工作流程和策略,解决这个问题

最新状态:

暂无