当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140215

漏洞标题:爱屋吉屋设计不当多个系统沦陷(OA、监控、VPN)

相关厂商:iwjwagent.com

漏洞作者: 土夫子

提交时间:2015-09-10 16:12

修复时间:2015-10-25 17:14

公开时间:2015-10-25 17:14

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-10: 细节已通知厂商并且等待厂商处理中
2015-09-10: 厂商已经确认,细节仅向厂商公开
2015-09-20: 细节向核心白帽子及相关领域专家公开
2015-09-30: 细节向普通白帽子公开
2015-10-10: 细节向实习白帽子公开
2015-10-25: 细节向公众公开

简要描述:

胖子皱了皱眉,终于醒悟过来,呆了呆,骂了一声:“我操!不会吧!”
  我说什么不会?看那些影子诡异的形状,肯定不会是F罩杯的美女,那么它们被我们吸引,绝对不会是好事。
  我登时就心乱如麻,不知道应该怎么办,看向闷油瓶,却见他入定了一样,不知道在想什么。
  胖子忽然从一边的工具堆里掏出一把石工锤,丢给我。

详细说明:

不知道这三个系统加一起提交值不值20rank,好吧,接下来看看这三个系统有什么问题
一、OA系统
该系统采用手机号作为用户id,可以批量扫号,切用户初始密码均为数字1。

002.png


二、业务VPN
账户命名规则为员工姓名完整拼音,且大量口令为manyi520

004.png


三、运维监控系统
存在弱口令,用户名密码均为iwjw

005.png


漏洞证明:

如上

修复方案:

1、OA、VPN:禁止使用弱口令,用户第一次登录时强制更改复杂性密码
2、监控:内部系统能不对公网暴露就不暴露

版权声明:转载请注明来源 土夫子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-10 17:13

厂商回复:

已确认

最新状态:

暂无