当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091758

漏洞标题:和信贷某信息泄漏导致大量应用系统沦陷

相关厂商:hexindai.com

漏洞作者: _Thorns

提交时间:2015-01-14 10:58

修复时间:2015-02-28 11:00

公开时间:2015-02-28 11:00

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-14: 细节已通知厂商并且等待厂商处理中
2015-01-14: 厂商已经确认,细节仅向厂商公开
2015-01-24: 细节向核心白帽子及相关领域专家公开
2015-02-03: 细节向普通白帽子公开
2015-02-13: 细节向实习白帽子公开
2015-02-28: 细节向公众公开

简要描述:

这么晚没睡觉挖洞我也是醉了,希望早日修复。也希望你们不要难为这位唐工,因为安全不是谁谁的责任,是一个整体。

详细说明:

某员工邮箱密码泄漏

4.jpg


平台地址:http://218.241.153.225:6100/superadmin/adminLogin.action
用户名:he****
密码:123456


5.jpg


时讯网短信地址
账号是:10xun-****zm,密码是:6****6 
发送短信接口说明
POST 或者 POST请求URL    
http://port.joycloud.mobi:81/WebServices/SMS/send_smsserver.ashx
参数
username   用户名
pwd        密码
phone_number  手机号码 (多个号码用英文的逗号隔开 最后一位不能为逗号 例如:13520000000,13520000000)
neirong    发送短信内容
返回值
-1 用户和密码不正确
1   短信数量不足
2   发送失败
0   发送成功
-1-1 请求接口时,出现异常
例如:假设您的用户名是10xun-tsdvdvs,密码是:123456
http://port.joycloud.mobi:81/WebServices/SMS/send_smsserver.ashx?username=XXXX&pwd=XXXX&phone_number=13911403029&neirong=您的验证码是123456


导致当事人身份证信息泄漏

姓名:唐少龙    身份证号:110111********1435


和信贷APP后台
地址:app.hexindai.com/nicai
账号:tang****
密码:hex****


后台地址及信息如下:
http://app.hexindai.com/nicai
登录用户名: cl****@txthinking.com 
登录密码: tianyahechumi****


2.jpg


登录地址:back****.hexindai.com
用户名:tangshao****    
密码:tshl23****


3.jpg

漏洞证明:

4.jpg

修复方案:

#1 网络边界需要认真对待。
#2 安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。
#3 杜绝为了方便而造成的不必要的信息泄露和弱口令。
#4 安全管理真是太难做了,是个难题也是个思考题!!!

版权声明:转载请注明来源 _Thorns@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-14 15:44

厂商回复:

感谢@_Thorns,我们已经做了相关修改,再次感谢!

最新状态:

暂无