漏洞概要
关注数(24)
关注此漏洞
漏洞标题:电商行业安全之当当网内网超级豪华漫游(涉及大量内部系统\运营系统\测试系统\服务器数据库权限等敏感信息)
提交时间:2015-06-11 00:44
修复时间:2015-07-26 08:56
公开时间:2015-07-26 08:56
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-06-11: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开
简要描述:
跟风...
敏感,喊审核人员打码!!
详细说明:
https://vpn.dangdang.com
这vpn张的是有多丑
.....还应该有很多的同学密码都长这样吧....
然后就开始内网了
漏洞证明:
......贴不完了
单点登录的思想延续到各个企业,vpn 与 mail 的密码一样
这里的各种滋味就无法一一言表了,审核帮忙mask打下码
邮件里有通告,说有几个邮箱已经被多次异地登录过,看来不是我最先进来的,但是我提交了
修复方案:
版权声明:转载请注明来源 管管侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-06-11 08:54
厂商回复:
感谢对当当安全的支持
最新状态:
暂无