当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145300

漏洞标题:36氪一次安全测试(涉及多个内部系统)

相关厂商:36氪科技博客

漏洞作者: 爱上平顶山

提交时间:2015-10-08 12:23

修复时间:2015-11-22 12:42

公开时间:2015-11-22 12:42

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-08: 细节已通知厂商并且等待厂商处理中
2015-10-08: 厂商已经确认,细节仅向厂商公开
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开

简要描述:

...

详细说明:

36氪
1、本来是准备完整测试的,后来发现没有vpn,并且:

0000.jpg


Hi,all,
    近期总有人在恶意尝试咱们员工的邮箱密码。请大家要注意保护好自己的邮箱,一旦被人攻入,后果可能非常严重。尤其是合伙人、人力、财务、技术部的同学,要特别小心。在此,我给大家一些能有效提升安全性的小技巧,也欢迎大家贡献其他好点子。安全都来没小事儿,需要大伙齐上阵。
1、在可信的主机上使用邮箱。避免在机场、网吧的公用主机上使用。
2、在可信的网络环境中使用邮箱。避免使用商场、公交的免费wifi或蹭网。
3、使用相当复杂的密码,例如我使用密码会形如:6^5qaXQr9G`tP。每个账号都是用不同的密码。
4、使用工具管理密码,比如KeePass、OnePass。但不要使用自带具有网络同步功能的密码管理工具。
5、周期性的变更密码
6、对于QQ邮箱,绑定微信,启用微信动态密码+信任计算机的方式


哗哗哗 过个节回来微信验证都开了 悲剧 提交之
2、Google bing 大数据泄露等等搞到个人:

张竞择
投融资服务  项目经理
手机:186****531
微信:sinozhang****
Email:zhangjingze@36kr.com
密码:if********1


mail未开启邮箱动态验证前是可以登录的

0000.jpg


000.jpg


00.jpg


3、氪加审核系统
各种权限

0.jpg


1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


4、CRM

7.jpg


ok

漏洞证明:

···

修复方案:

加强安全

版权声明:转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-08 12:40

厂商回复:

非常感谢。我们会尽快联系您,了解详细的漏洞情况。

最新状态:

暂无