漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0144240
漏洞标题:新时代证券弱口令导致敏感信息泄露(所有员工\内部文件信息)
相关厂商:xsdzq.cn
漏洞作者: 风格
提交时间:2015-09-30 16:11
修复时间:2015-11-16 21:58
公开时间:2015-11-16 21:58
漏洞类型:服务弱口令
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-30: 细节已通知厂商并且等待厂商处理中
2015-10-02: 厂商已经确认,细节仅向厂商公开
2015-10-12: 细节向核心白帽子及相关领域专家公开
2015-10-22: 细节向普通白帽子公开
2015-11-01: 细节向实习白帽子公开
2015-11-16: 细节向公众公开
简要描述:
到处都是弱口令
详细说明:
WooYun: 新时代证券某重要系统多个弱口令+多处SQL注入
这个问题还存在,口令都不改么~
oa系统
it运维资金管理系统
网络会议系统
签到系统
企业邮箱
全部可以爆破
跑出两处弱口令
网络会议系统
wangyan 123456
zhaoguoxin 123456
baijiankang 123456
liuying 123456
liushuzhong 123456
lijiaqi 123456
liushi 123456
fwuzhengmin 123456
shenglin 123456
gongwei 123456
fengwensuo 123456
sunweidang 123456
yangyang 123456
liuguanghuan 123456
jiangnan 123456
jiangnan 123456
jiangjingna 123456
zhangxu 123456
wangyan 123456
zhaoguoxin 123456
baijiankang 123456
liuying 123456
liushuzhong 123456
lijiaqi 123456
liushi 123456
fwuzhengmin 123456
shenglin 123456
sunweidang 123456
fengwensuo 123456
gongwei 123456
yangyang 123456
liuguanghuan 123456
jiangnan 123456
jiangnan 123456
jiangjing 123456
zhangxu 123456
貌似没什么东西
漏洞证明:
企业邮箱
xuxin@xsdzq.cn: qweqwe123
wangqian@xsdzq.cn: qweqwe123
zhaoyanhua@xsdzq.cn: 000000
lishengzhen@xsdzq.cn: 000000
gelili@xsdzq.cn: 000000
zhuling@xsdzq.cn: 000000
cuiyun@xsdzq.cn: 123321
yuxiaotian@xsdzq.cn: 000000
zhaoyanhua@xsdzq.cn: 000000
gelili@xsdzq.cn: 000000
yuxiaotian@xsdzq.cn: 000000
zhuling@xsdzq.cn: 000000
cuiyun@xsdzq.cn: 123321
caoshaohua@xsdzq.cn: 000000
luoli@xsdzq.cn: 000000
wuyafeng@xsdzq.cn: 000000
zhengheng@xsdzq.cn: 000000
员工信息
邮件内容
修复方案:
1.加验证码
2.限制IP
3.增强员工安全意识
版权声明:转载请注明来源 风格@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2015-10-02 21:56
厂商回复:
感谢乌云网的友情提示,我司会立即组织人员修补该漏洞。
最新状态:
暂无