当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143398

漏洞标题:银泰商业某系统大量供应商弱口令信息泄漏(5W多供应商)

相关厂商:银泰商业集团

漏洞作者: MelodyZX

提交时间:2015-09-25 18:20

修复时间:2015-11-09 18:26

公开时间:2015-11-09 18:26

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-25: 细节已通知厂商并且等待厂商处理中
2015-09-25: 厂商已经确认,细节仅向厂商公开
2015-10-05: 细节向核心白帽子及相关领域专家公开
2015-10-15: 细节向普通白帽子公开
2015-10-25: 细节向实习白帽子公开
2015-11-09: 细节向公众公开

简要描述:

RT

详细说明:

目标网站银泰百货供应商网上对账平台

http://122.224.218.142:7070/supplier/jsp/index.jsp

1234.png

我们需要供应商帐号,由于银泰百货使用了新的系统,因此我们先看新系统网站

http://irou.intime.com.cn:8380/supplier/jsp/login.jsp

在注册新用户那里,可查询供应商编号信息。

火狐截图_2015-09-25T06-03-52.522Z.png

供应商编号.png

供应商过多导致小霸王笔记本足足死机了一分钟.....
然后默认密码123456,好像基本上5w多个供应商都木有改过= =

供应商.png


成功登录阿迪王的系统

阿迪王.png

提示需要去新系统注册使用,登录新系统,我体验一把CEO的感脚~注册负责人帐号登录

系统登录.png

申请1毛钱融资

融资申请.png

查看结算单(可以多点打折不)

专柜结算单.png

漏洞证明:

我只想买一双球鞋~

修复方案:

通知改口令吧~

版权声明:转载请注明来源 MelodyZX@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-25 18:25

厂商回复:

分感谢 MelodyZX 提交的漏洞,感谢广大白帽子对网络安全做出的积极贡献。由于银泰网当前安全底子比较薄,还请各位多多帮助,我司会尽快处理

最新状态:

暂无