当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139440

漏洞标题:北京远大驾校校长信箱+支付宝弱口令可影响内部数据

相关厂商:jiaxiao.com.cn

漏洞作者: 西西

提交时间:2015-09-07 12:29

修复时间:2015-10-22 12:30

公开时间:2015-10-22 12:30

漏洞类型:应用配置错误

危害等级:高

自评Rank:12

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

如题

详细说明:

如下:

漏洞证明:

打开官网
http://www.jiaxiao.com.cn/baoming.html

JTR3AI2{5`QDE@OJ(FAB$AT.png


瞟了一眼就发现了校长邮箱
yuandajiaxiao826@163.com
第一感觉长长的指定是弱密码
试了一下用户名
yuandajiaxiao826 作为密码登录失败
yuandajiaxiao 成功
账号
yuandajiaxiao826@163.com
密码
yuandajiaxiao
登陆成功

IREJ((E[_Y_1K9FD)MP2_R4.png


翻了一下邮件 好多支付宝账单

3NGBZO1P`PG`B]GGTSVUS7O.png


应该是绑了支付宝
操着
yuandajiaxiao826@163.com
这个账号 去登陆 支付宝
又试了下密码 yuandajiaxiao 不正确
又试了下 yuandajiaxiao826 卧槽又进去了有木有
(猜想这位校长肯定是个上了年纪的大叔 密码都是弱弱的 好记呀)
支付宝登录证明

FC4GC8F}M$Z@T1A)VLGVICR.png


好多钱哦。。。
分文未动。 谢绝水表。。

修复方案:

改密码

版权声明:转载请注明来源 西西@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)