当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134881

漏洞标题:东北大学某分站弱口令导致大量信息泄露

相关厂商:东北大学

漏洞作者: lock

提交时间:2015-08-18 12:50

修复时间:2015-10-03 15:16

公开时间:2015-10-03 15:16

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-18: 细节已通知厂商并且等待厂商处理中
2015-08-19: 厂商已经确认,细节仅向厂商公开
2015-08-29: 细节向核心白帽子及相关领域专家公开
2015-09-08: 细节向普通白帽子公开
2015-09-18: 细节向实习白帽子公开
2015-10-03: 细节向公众公开

简要描述:

信息涉及到05年-15年所有东北大学学生信息,所有涉及的人数还是非常多的,此外信息内容也非常丰富,基本囊括了个人所有信息。如此多而且内容丰富的信息泄露还是非常严重的,而这一切源于一个弱口令。具体见说明

详细说明:

信息涉及到05年-15年所有东北大学学生信息,所有涉及的人数还是非常多的,此外信息内容也非常丰富,基本囊括了个人所有信息。如此多而且内容丰富的信息泄露还是非常严重的,而这一切源于一个弱口令。具体见说明
网站地址:
http://job.neu.edu.cn/
系统管理员弱口令;admin 123456
后台:

1.png


添加管理员:

2.png


可查询所有毕业生信息:
内容非常多,基本囊括个人所有信息
姓名
性别
学院
专业
家庭住址
身份证
生日
邮箱
电话
父母名字
宿舍楼
房间号
寝室电话等待。。。。。

3.png


查询数据:

4.png


5.png


可操作数据:
导出、删除均可

6.png


可查询毕业生推荐表,内容也很丰富
<img src="/upload/201508/172315229796366efc00933f6103a533bc34716d.png"

7.png

alt="9.png" />

8.png


注册招聘单位:

11.png


网站活跃度还是很高的:

10.png


12.png


漏洞证明:

如上

修复方案:

修改弱口令

版权声明:转载请注明来源 lock@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2015-08-19 15:15

厂商回复:

感谢漏洞提交者。作为网络中心信息安全相关工作协调人员,已经第一时间联系相关部门领导和技术人员,对账户弱密码进行修改,并对系统的相关隐患进行排查。再次表示感谢!

最新状态:

暂无