漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某省电信天翼看家视频监控运营商管理系统后台登录,可查看用户摄像头(看家,你懂的)
提交时间:2013-04-27 11:07
修复时间:2013-06-11 11:07
公开时间:2013-06-11 11:07
漏洞类型:服务弱口令
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-04-27: 细节已通知厂商并且等待厂商处理中
2013-04-28: 厂商已经确认,细节仅向厂商公开
2013-05-08: 细节向核心白帽子及相关领域专家公开
2013-05-18: 细节向普通白帽子公开
2013-05-28: 细节向实习白帽子公开
2013-06-11: 细节向公众公开
简要描述:
后台泄露
可进入运营商管理系统后台,查看所有用户信息 , 主要是家庭用户
登入网站配合弱口令,就能在线看到用户家庭摄像头,,还可以在线调节拍摄角度, 观看真人秀.
本来是为了安全的,结果呢?
详细说明:
江苏电信天眼视频监控运营商管理系统后台泄漏且为弱口令 可登录后台
用户名 vhomenj 密码6个1
查看所有用户的信息 配合弱口令 可查看用户视频
相关链接:电信某省的“平安e家”视频监控网站弱密码可暴力猜解
漏洞证明:
可查看所有用户的信息 和用户名 电话号码 甚至是家庭住址
查看PU信息
添加设备
配合用户名和弱口令 可查看用户的摄像头
操作云台换个角度
换个用户
某市的电信市场扩展部门
修复方案:
1. 加强员工培训
2. 登陆页面加验证码
3. 强制使用强口令
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-04-28 15:25
厂商回复:
CNVD确认并复现所述情况,已在27号直接转发CNCERT江苏分中心,由江苏分中心协调当地基础电信运营企业处置。
rank 10
最新状态:
暂无
漏洞评价:
评论
-
2013-04-27 11:09 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2013-04-27 11:17 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
-
2013-04-27 11:18 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
@x-star 天呐,这么说还能来个“云”点播了,赞!
-
2013-04-27 11:26 |
wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:13 | 道生一,一生二,二生三,三生万物,万物负...)
-
2013-04-27 11:29 |
DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)
-
2013-04-27 11:41 |
Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)
我来卖门票..看现场直播的赶紧报名. 5.1大酬宾..
-
2013-04-27 15:31 |
gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
-
2013-04-27 16:45 |
qiaoy ( 普通白帽子 | Rank:110 漏洞数:15 )
-
2013-04-27 16:57 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
@xsser 标题写的问题 不是任意查看任意用户视频, 需要猜解密码才行(不过大多数都是弱口令) 请XSSER帮忙改下
-
2013-04-27 23:57 |
易水寒 ( 实习白帽子 | Rank:67 漏洞数:5 )
-
2013-04-28 11:26 |
黑色双刃剑 ( 普通白帽子 | Rank:132 漏洞数:38 )
-
2013-04-28 12:59 |
rico ( 路人 | Rank:10 漏洞数:1 | 码农一名)
-
2013-04-28 14:56 |
哎呀 ( 实习白帽子 | Rank:79 漏洞数:8 | 忙啊!!!)
-
2013-04-28 15:54 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
-
2013-04-28 16:33 |
毕月乌 ( 普通白帽子 | Rank:120 漏洞数:10 | 猜猜我是谁?)
-
2013-05-01 11:28 |
krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)
-
2013-05-12 14:14 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
-
2013-05-28 17:09 |
裙下的秘密 ( 实习白帽子 | Rank:83 漏洞数:9 | )
@疯狗 我一看到有视频,第一想的也是有卧室吗 -。-
-
2013-05-29 12:39 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
@裙下的秘密 可以有,家里唯一能将监控摄像头安全危害提升至高危的就是卧室了!!
-
2013-05-30 21:57 |
rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)
-
2013-05-30 22:01 |
rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)
我会告诉大家,电信的营业web登陆端口在8083么?是外网哦。
-
2013-05-30 22:11 |
乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)
的确看家了。。除了电脑外,很好奇谁会在家装个摄像头并且让互联网上的人监控自己家呢
-
2013-05-31 08:52 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
@乌帽子 装在家里是让自己看的 不是让别人看的 也属于家庭安防的一种吧
-
2013-06-11 14:26 |
基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)
-
2013-06-19 21:48 |
灰帽子 ( 实习白帽子 | Rank:67 漏洞数:12 | 白帽子)
是不是这个呢http://www.njkd.cn/html/panan.html
-
2013-07-01 10:18 |
LeadUrLife ( 普通白帽子 | Rank:103 漏洞数:12 | 好好学习 天天向上)
-
2014-01-23 06:41 |
Stranger ( 路人 | Rank:0 漏洞数:1 | 我注意你很久了.....)