漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0161445
漏洞标题:搜了网络采集填充企业信息库40W会员通用密码泄漏
相关厂商:深圳市搜了网络科技股份有限公司
漏洞作者: July
提交时间:2015-12-15 12:12
修复时间:2016-01-28 17:10
公开时间:2016-01-28 17:10
漏洞类型:服务弱口令
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
通过前几天裤子筛选数据时发现大量相似数据,经查询两个会员关键字加起来有40多万,且会员密码多为弱口令。
详细说明:
筛选数据(www.51sole.com.txt)发现两个关键字有大量注册信息,而且密码都是一样的、一样的弱口令!!
关键字1
关键字2
统计:114078+300719=414797
默认密码:admin
40W关键字会员数据:http://pan.baidu.com/s/1pKa630Z
漏洞证明:
当今有些B2B运营网站限于站内注册会员有限,在不影响(排名)?或.... !!的情况下采集国内较大B2B网站,企业注册信息资料进行填充网站数据库,不知这样帮别人注册自己网站的会员,有没有经过企业的同意!
为何说是B2B运营商采集企业信息!看下面会员信息吧
抽查51sole1792840会员关键字登录网站
会员51sole1792840企业店铺:
可以看出会员信息只存在:公司名称,公司简介,电话,邮箱
查看店铺,"联系我们"页面发现公司网站是两个URL
好像51sole1792840会员信息,是采集518ad.com网站下kmrczx的会员资料吧! http://b2b.518ad.com/files/CompanyWeb/kmrczx
会员:hkjum1351725
hkjum1351725店铺页面:http://hkjum1351725.51sole.com/companycontact.htm
被采集页面:http://ccpef2007.cn.busytrade.com/
现在完全可推测这即是一波无授权采集他人网站用户信息,在没有经企业准许下为企业注册在其自营网内会员信息。
PS:
帮助企业宣传也是好事,但是密码能再简单点吗?
如果用户通51sole.com网站了解到某家(hkjum1351725)被他人通过若密码修改过的(不实企业信息)店铺,购买了存在质量(纠纷)的产品(欺诈)这个事情由谁来承担?
修复方案:
版权声明:转载请注明来源 July@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:8 (WooYun评价)