当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03325

漏洞标题:北京住房公积金网手机版查询默认密码漏洞

相关厂商:北京住房公积金网

漏洞作者: 路人甲

提交时间:2011-11-16 21:41

修复时间:2011-11-21 11:33

公开时间:2011-11-21 11:33

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-11-16: 细节已通知厂商并且等待厂商处理中
2011-11-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

公民信息查询使用了可预见的密码,对用户不负责任。

详细说明:

继web版被曝默认密码漏洞后,官方已采取有效措施。但手机版依然存在问题,验证时使用了可以预测的默认密码,若用户未修改默认密码,就可能被黑客任意利用,未经授权即可查询他人的工资和工作单位等隐私信息,且该登录页面无验证码,更可能被黑客穷举身份证号和默认密码,海量偷取公民隐私信息。

漏洞证明:

1.进入wap版查询地址:
http://wap.mybj.gov.cn/wap/MyServiceAction/getService.action?id=SGD089693&bigTitle=%E4%BD%8F%E6%88%BF&smallTitle=%E5%85%AC%E7%A7%AF%E9%87%91
2.验证方式选择“身份证”
3.填写身份证号
4.默认密码为身份证号后4位+00,共6位。

修复方案:

提醒个人修改默认密码,并和手机绑定
采取和web版类似的修复手段

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-11-21 11:33

厂商回复:

经抽样测试10个身份证号码,CNVD目前无法确认漏洞存在。抱歉。

漏洞Rank:6 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2011-11-21 13:36 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    验证的确是真实的啊

  2. 2011-11-22 16:45 | cncert国家互联网应急中心(乌云厂商)

    CNVD/CNCERT试过不下十个身份证号,都是在北京交公积金的,没有一个试成功。不过CNVD/CNCERT会继续跟踪。

  3. 2011-11-22 16:49 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    额 看来报漏洞还是要截图和视频啊

  4. 2011-11-22 16:50 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    刚测试还是可以的 呵呵