当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133073

漏洞标题:寻医问药某医生平台弱口令(涉及账户资金/积分安全/问答敏感信息泄漏)

相关厂商:寻医问药

漏洞作者: 牛 小 帅

提交时间:2015-08-10 15:11

修复时间:2015-08-11 15:05

公开时间:2015-08-11 15:05

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-10: 细节已通知厂商并且等待厂商处理中
2015-08-10: 厂商已经确认,细节仅向厂商公开
2015-08-11: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

11

详细说明:

帐号:xiaoxia369
密码:hou300541


影响资金 积分安全;

P0KMJ)5_E6S%RSIA1EAS93H.jpg


4{WPHNZ4LLMUA$[YYQ9]G2C.png


大量信息

姓名 	职称 	奖励金额(元)
刘红霞 	主治医师 	300
姜艳芝 	主治医师 	200
郑小慧 	主治医师 	100
家庭医生全勤奖励  
姓名 	职称 	奖励金额(元)
曹伟 	副主任医师 	200
郑小慧 	主治医师 	150
姜艳芝 	主治医师 	150
刘丽君 	主治医师 	150
刘红霞 	主治医师 	150
闫肇良 	主治医师 	150
李月权 	主治医师 	150
董树林 	主治医师 	150
陈涛 	主治医师 	150
唐士龙 	主治医师 	150
崔红英 	主治医师 	150
张雅清 	主治医师 	150
王银响 	医师 	100
张冬梅 	医师 	100
刘泽群 	医师 	100
 
家庭医生用户体验奖
姓名 	职称 	奖励金额(元)
刘红霞 	主治医师 	200
姜艳芝 	主治医师 	200
朱连科 	主治医师 	200
陈涛 	主治医师 	200
郑小慧 	主治医师 	200
闫肇良 	主治医师 	200
刘明辉 	主治医师 	200
董树林 	主治医师 	200
唐士龙 	主治医师 	200
李月权 	主治医师 	200
林文强 	主治医师 	200
孙克慧 	主治医师 	200
高宏飞 	主治医师 	200
崔红英 	主治医师 	200
张雅清 	主治医师 	200
刘丽君 	主治医师 	200
张冬梅 	医师 	100
刘华 	心理咨询师 	100
刘泽群 	医师 	100
赵锋 	医师 	100
家庭医生处罚名单
处罚原因 	医生ID 	姓名 	扣除金额(元)
图文咨询未回复 	57578103 	王健 	15
13960884 	张云朝 	15
36112101 	吴倩 	15
54926869 	陈兴华 	15
13114508 	张强 	10
40289917 	梁云 	10
44748999 	黄良坚 	10
58398676 	宁鹏 	10
13947887 	赵锋钧 	10
42484194 	赵昌棣 	10
12120126 	池睿 	10
未接过多 	53935900 	韩新令 	10
60711704 	徐世锐 	10
46324278 	于维恒 	10
20905296 	林卫忱 	10
58004297 	  王大海 	10
36262497 	  杜云 	10
34785920 	刘健 	5
51148564 	许允刚 	5
差评 	45445854 	唐中俊 	20
违规 	40482661 	彭炳 	5
27180211 	谢周通 	5


%$K]G]V0G07MJ2GEIBLFLNJ.png


漏洞证明:

帐号:xiaoxia369
密码:hou300541


影响资金 积分安全;

P0KMJ)5_E6S%RSIA1EAS93H.jpg


4{WPHNZ4LLMUA$[YYQ9]G2C.png


大量信息

姓名 	职称 	奖励金额(元)
刘红霞 	主治医师 	300
姜艳芝 	主治医师 	200
郑小慧 	主治医师 	100
家庭医生全勤奖励  
姓名 	职称 	奖励金额(元)
曹伟 	副主任医师 	200
郑小慧 	主治医师 	150
姜艳芝 	主治医师 	150
刘丽君 	主治医师 	150
刘红霞 	主治医师 	150
闫肇良 	主治医师 	150
李月权 	主治医师 	150
董树林 	主治医师 	150
陈涛 	主治医师 	150
唐士龙 	主治医师 	150
崔红英 	主治医师 	150
张雅清 	主治医师 	150
王银响 	医师 	100
张冬梅 	医师 	100
刘泽群 	医师 	100
 
家庭医生用户体验奖
姓名 	职称 	奖励金额(元)
刘红霞 	主治医师 	200
姜艳芝 	主治医师 	200
朱连科 	主治医师 	200
陈涛 	主治医师 	200
郑小慧 	主治医师 	200
闫肇良 	主治医师 	200
刘明辉 	主治医师 	200
董树林 	主治医师 	200
唐士龙 	主治医师 	200
李月权 	主治医师 	200
林文强 	主治医师 	200
孙克慧 	主治医师 	200
高宏飞 	主治医师 	200
崔红英 	主治医师 	200
张雅清 	主治医师 	200
刘丽君 	主治医师 	200
张冬梅 	医师 	100
刘华 	心理咨询师 	100
刘泽群 	医师 	100
赵锋 	医师 	100
家庭医生处罚名单
处罚原因 	医生ID 	姓名 	扣除金额(元)
图文咨询未回复 	57578103 	王健 	15
13960884 	张云朝 	15
36112101 	吴倩 	15
54926869 	陈兴华 	15
13114508 	张强 	10
40289917 	梁云 	10
44748999 	黄良坚 	10
58398676 	宁鹏 	10
13947887 	赵锋钧 	10
42484194 	赵昌棣 	10
12120126 	池睿 	10
未接过多 	53935900 	韩新令 	10
60711704 	徐世锐 	10
46324278 	于维恒 	10
20905296 	林卫忱 	10
58004297 	  王大海 	10
36262497 	  杜云 	10
34785920 	刘健 	5
51148564 	许允刚 	5
差评 	45445854 	唐中俊 	20
违规 	40482661 	彭炳 	5
27180211 	谢周通 	5


%$K]G]V0G07MJ2GEIBLFLNJ.png


修复方案:

增加密码复杂度

版权声明:转载请注明来源 牛 小 帅@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2015-08-10 15:24

厂商回复:

这是个人用户的安全意识问题,你登陆的是普通用户账号。另外我想了解下你是怎么获得这个用户名的,密码也是难以通过暴破取得的,不同于常见的弱口令概念。最后还是感谢提交,如果你提供了相关细节我就给更多分了。

最新状态:

2015-08-11:已通知所有用户更新密码。