漏洞概要
关注数(24)
关注此漏洞
漏洞标题:国联证券某站存在大量弱口令(涉及邮箱/职位/电话/内部文件等)
漏洞作者: 心云
提交时间:2015-12-10 15:31
修复时间:2016-01-23 15:16
公开时间:2016-01-23 15:16
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-12-10: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开
简要描述:
一大把弱口令。。。
详细说明:
这么多弱口令 也花了挺多时间 求上个首页 T_T
问题出在你们的oa系统
漏洞地址:
但是
审核大大您看清楚了
我提交的这个跟
不是同一个漏洞 他提交的弱口令是 123456
而我找到了他们其他的弱口令
我先用密码 a123456爆出一个用户,然后利用该用户导出他们的通讯录
以下是通讯录+top500,后面爆破要用(可能有重复,这些都是邮箱名):
接下来就开始爆破:
0X01 密码为12345678
0X02 密码为glsc8888
0X03 密码为123456
0X04 密码为a123456
0X05 密码为888888
0X06 密码为666666
0X07 密码为111111
以下是登录后的截图:
可直接登录邮箱:
通讯录:
内部通知:
漏洞证明:
证明:
修复方案:
1、希望你们能大整改 杜绝弱口令
2、登录处加验证码 提高安全性
版权声明:转载请注明来源 心云@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-12-10 15:58
厂商回复:
感谢发现
最新状态:
暂无