当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138048

漏洞标题:一次对敦煌网邮箱批量渗透测试

相关厂商:dhgate.com

漏洞作者: 土夫子

提交时间:2015-08-31 11:07

修复时间:2015-10-19 21:50

公开时间:2015-10-19 21:50

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-31: 细节已通知厂商并且等待厂商处理中
2015-09-04: 厂商已经确认,细节仅向厂商公开
2015-09-14: 细节向核心白帽子及相关领域专家公开
2015-09-24: 细节向普通白帽子公开
2015-10-04: 细节向实习白帽子公开
2015-10-19: 细节向公众公开

简要描述:

这是一家闷声发大财的公司。
嗯,相信我!

详细说明:

你们的企业通讯录被泄露过。所以我才有了这近1000人的邮箱账号。
有了这些账号,便可以通过burp批量登录测试,其中邮箱密码是:
123456的员工有11人;
12345678的有19人;
用户名/密码一样的有5人;
123123的有2人;
为了保护隐私,在此就不贴出用户列表了,厂商认领漏洞后可以在乌云私信我,然后我发你弱口令用户列表。

QQ截图20150829010130.jpg


QQ截图20150829010239.jpg


QQ截图20150829010338.jpg


QQ截图20150829010516.jpg

漏洞证明:

如上

修复方案:

禁止使用弱口令

版权声明:转载请注明来源 土夫子@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-09-04 21:49

厂商回复:

非常感谢白帽子的发现和反馈,已责令第三方邮件系统服务商改进,诸如添加验证码、密码策略加强等。

最新状态:

暂无