合生元某平台弱口令泄露大量信息 | wooyun-2015-0125328| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125328

漏洞标题：合生元某平台弱口令泄露大量信息

漏洞作者： missy

提交时间：2015-07-08 11:16

修复时间：2015-08-22 11:24

公开时间：2015-08-22 11:24

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-08：细节已通知厂商并且等待厂商处理中
2015-07-08：厂商已经确认，细节仅向厂商公开
2015-07-18：细节向核心白帽子及相关领域专家公开
2015-07-28：细节向普通白帽子公开
2015-08-07：细节向实习白帽子公开
2015-08-22：细节向公众公开

简要描述：

详细说明：

http://bslog.biostime.com.cn/dealerPlatform/permission/dealerLogout.do

123456 123456

办事处 	经销商 	终端名称 	业务模式 	任务号 	业务类型 	成功提交条码数 	失败条码数 	提交时间
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 	赤峰市林西县天使宝贝孕婴店 	正常 	CK20150708103620956257BT 	出库业务 	6 	0 	2015-07-08 10:36:18
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 	赤峰百柳超店冠东店 	正常 	CK20150707081739399294BT 	出库业务 	1 	0 	2015-07-07 08:17:39
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 		正常 	TH20150707081722309663BT 	退货业务 	1 	0 	2015-07-07 08:17:21
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 	赤峰百柳超店冠东店 	正常 	CK20150707081538535692BT 	出库业务 	1 	1 	2015-07-07 08:15:38
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 		正常 	TH20150707081512809770BT 	退货业务 	1 	1 	2015-07-07 08:15:12
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 	赤峰爱贝孕婴 	正常 	CK20150705174706239313BT 	出库业务 	7 	3 	2015-07-05 17:47:03
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 		正常 	TH20150705174642756015BT 	退货业务 	0 	10 	2015-07-05 17:46:38
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 	赤峰爱贝孕婴 	正常 	CK20157310303284724596 	出库业务 	23 	0 	2015-07-03 08:47:31
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 		正常 	TH20157310303284615713 	退货业务 	3 	20 	2015-07-03 08:46:22
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 	赤峰维多利超市 	正常 	CK2015062918353558965BT 	出库业务 	8 	0 	2015-06-29 18:35:35
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 		正常 	TH20150629183516429554BT 	退货业务 	8 	0 	2015-06-29 18:35:15
合生元锦州办,素加锦州办,葆艾沈阳办 	赤峰刘氏佳恒商贸有限公司 		正常 	PM201562710303214124787A 	盘点业务 	42 	0 	2015-06-27 14:12:29

有多个弱口令存在，但有次数机制，超出限制就会被暂时锁定。虽然有验证码，但形同虚设。
经测试一下账户都是可存在账户

漏洞证明：

修复方案：

增强口令
验证方式

版权声明：转载请注明来源 missy@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2015-07-08 11:23

厂商回复：

非常感谢路人甲对我公司系统安全的贡献，我们非常关注你的发现，并在积极的进行补救。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125328

漏洞标题：合生元某平台弱口令泄露大量信息

相关厂商：广州市合生元生物制品有限公司

漏洞作者： missy

提交时间：2015-07-08 11:16

修复时间：2015-08-22 11:24

公开时间：2015-08-22 11:24

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 missy@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125328

漏洞标题：合生元某平台弱口令泄露大量信息

相关厂商：广州市合生元生物制品有限公司

漏洞作者： missy

提交时间：2015-07-08 11:16

修复时间：2015-08-22 11:24

公开时间：2015-08-22 11:24

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0125328"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 missy@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：