漏洞概要
关注数(24)
关注此漏洞
漏洞标题:政府电子邮箱系统不安全可导致危害(如长江海事可以伪装内部人员发送邮件欺骗他人)
漏洞作者: 小龙
提交时间:2013-05-26 12:04
修复时间:2013-07-10 12:04
公开时间:2013-07-10 12:04
漏洞类型:应用配置错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-05-26: 细节已通知厂商并且等待厂商处理中
2013-05-30: 厂商已经确认,细节仅向厂商公开
2013-06-09: 细节向核心白帽子及相关领域专家公开
2013-06-19: 细节向普通白帽子公开
2013-06-29: 细节向实习白帽子公开
2013-07-10: 细节向公众公开
简要描述:
可以伪装内部人员向任意指定邮箱发送邮件,导致他人被欺骗,昨晚耍了一个朋友他说要报警
详细说明:
漏洞证明:
修复方案:
关闭任意用户注册 更改注册邮箱地址防止别人突破限制 你们比我更懂!
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2013-05-30 22:53
厂商回复:
对于该案例,分为两个方面进行确认:1、.gov.cn注册滥用,这个是风险;2、关于发件人伪造,这个倒是可以脱离案例进行,不用注册也可以伪造。CNVD尝试联系网站管理单位处置。
按滥用风险进行评分,rank 7
最新状态:
暂无
漏洞评价:
评论
-
2013-05-26 12:51 |
小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)
(我勒个去)不过目前的技术貌似可以伪装任意的地址(除了一些比较有名的邮件服务提供商)。。可是ip伪装不了
-
2013-05-26 13:02 |
江苏卫视(乌云厂商)
-
2013-05-26 13:03 |
梧桐雨 
( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)
-
2013-05-26 13:04 |
江苏卫视(乌云厂商)
-
2013-05-26 13:05 |
梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)
-
2013-05-26 13:14 |
ChriSt ( 实习白帽子 | Rank:33 漏洞数:3 )
-
2013-05-26 13:17 |
小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)
-
2013-05-26 13:20 |
ChriSt ( 实习白帽子 | Rank:33 漏洞数:3 )
-
2013-05-26 13:21 |
Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
-
2013-05-26 13:43 |
小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)
@ChriSt 不是伪装ip。。只是能以任意的发件人地址发邮件。。sorry我没说清楚。。比如说以admin@wooyun.org给你的qq邮箱发个邮件,你看到的收件人就是admin@wooyun.org
-
2013-05-26 13:56 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-05-26 14:14 |
梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)
-
2013-05-26 14:24 |
江苏卫视(乌云厂商)
-
2013-05-26 14:29 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-05-26 14:33 |
江苏卫视(乌云厂商)
-
2013-05-26 14:34 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-05-26 14:37 |
江苏卫视(乌云厂商)
@xsser 没权限进服务器,只能根据白帽子的反馈验证漏洞存在,虽然修复的人不在了,但也不能忽略公开啊
-
2013-05-26 14:42 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@江苏卫视 江苏卫视非诚勿扰下次我去参加,你要去后台告诉他们让他们pia pia的全部亮灯哈
-
2013-05-26 14:44 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
@小龙 你记得说你是乌云的实习白帽子,一定pia pia的全部亮灯的
-
2013-05-26 14:48 |
小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)
@xsser @小龙 貌似……非诚勿扰一开始灯是全亮的啊……然后女嘉宾选择灭灯什么的……
-
2013-05-26 14:56 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:141 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
2013-05-26 14:58 |
梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)
@江苏卫视 上非诚勿扰打八折吗?wooyun白帽子能优先插队吗?
-
2013-05-26 14:59 |
江苏卫视(乌云厂商)
-
2013-05-26 15:01 |
小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)
-
2013-05-26 15:07 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@xsser 必须的,非诚勿扰的老大在这,我们组队“三贱客” 一起上非诚勿扰吧,以后找机会上星光大道,去找老毕叔叔(#‵′)凸
-
2013-05-26 15:36 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-05-26 16:56 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@小森森 @江苏卫视 http://hd.jsbc.com/job/1.txt你分站又沦陷了- -
-
2013-07-03 10:40 |
核攻击 ( 实习白帽子 | Rank:35 漏洞数:7 | 统治全球,奴役全人类!毁灭任何胆敢阻拦的...)
-
2013-07-03 15:28 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@核攻击 拒绝跨省- - 我在印度卖羊肉串呢。。。
-
2013-07-10 13:07 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
大家没注意看吗? 你不是伪造啊 明明就是admln吗
-
2013-07-10 14:02 |
小震 ( 路人 | Rank:8 漏洞数:3 | ~)
-
2013-08-06 18:07 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
