漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0122492
漏洞标题:多省卫生信息直报系统存在弱口令+前台登陆缺陷
相关厂商:cncert国家互联网应急中心
漏洞作者: 黑妹不爱我
提交时间:2015-06-24 18:17
修复时间:2015-08-12 07:46
公开时间:2015-08-12 07:46
漏洞类型:后台弱口令
危害等级:低
自评Rank:1
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-28: 厂商已经确认,细节仅向厂商公开
2015-07-08: 细节向核心白帽子及相关领域专家公开
2015-07-18: 细节向普通白帽子公开
2015-07-28: 细节向实习白帽子公开
2015-08-12: 细节向公众公开
简要描述:
多省卫生信息直报系统存在弱口令+前台登陆缺陷
详细说明:
多省卫生信息直报系统存在弱口令+前台登陆缺陷
此系统账号命名规则为6位行政区号,并且前台登陆无验证码且不限登陆失败次数
故可用burpsuite批量爆破,涉及网站:
http://tjbb.zjwst.gov.cn:8080/irpt/i/oem/wsb/login.jsp 浙江
http://218.85.72.90:8080/irpt/i/oem/wsb/login.jsp
http://116.228.189.201:8080/irpt/i/oem/wsb/login.jsp 上海
http://www.sdwstj.org/webPage/i/oem/wsb/login.jsp 山东
http://222.247.54.151:8080/irpt/i/oem/wsb/index.jsp 湖南
(以下是湖南省系统爆破出的弱口令用户,测试均可登陆)
430112 123456
430412 1234567
430511 1234567
430682 123456789
430103 111111
430602 111111
431321 111111
431322 111111
431381 111111
430423 666666
430523 666666
431224 666666
430203 888888
430681 888888
430382 000000
漏洞证明:
修复方案:
前台登陆增加验证码,增加登陆失败次数禁止登陆 弱口令用户统一重置密码
版权声明:转载请注明来源 黑妹不爱我@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-06-28 07:44
厂商回复:
CNVD确认所述情况,已经转由CNCERT下发给各对应分中心,由其后续协调网站管理单位处置。
最新状态:
暂无