海尔某信息采集平台存在大量弱口令泄露敏感数据

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-039248

漏洞标题：海尔某信息采集平台存在大量弱口令泄露敏感数据

漏洞作者： niliu

提交时间：2013-10-10 10:11

修复时间：2013-11-24 10:12

公开时间：2013-11-24 10:12

漏洞类型：基础设施弱口令

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-10：细节已通知厂商并且等待厂商处理中
2013-10-14：厂商已经确认，细节仅向厂商公开
2013-10-24：细节向核心白帽子及相关领域专家公开
2013-11-03：细节向普通白帽子公开
2013-11-13：细节向实习白帽子公开
2013-11-24：细节向公众公开

简要描述：

海尔某信息采集平台存在大量弱口令泄露敏感数据

详细说明：

海尔酒店供应商信息采集平台

http://travel.haier.com/travel/Hotel/SPHotelInfo/ReLogin.aspx

存在大量弱口令

先获取一个酒店管理编号SP0200638 密码111111

然后可以根据编号进行遍历密码基本都为111111
SP0200635

SP0200636

SP0200634

还有很多不一一上传，可对供应商信息进行修改，可查询发票等敏感信息

漏洞证明：

如上

修复方案：

这个初始密码要不得~

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-10-14 23:22

厂商回复：

CNVD确认所述情况，已经将近期涉及海尔集团的若干事件统一下发给CNCERT山东分中心，由其后续联系涉事单位处置。

漏洞评价：

2013-10-10 10:31 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了，刷分还是不刷？)

终于给海尔了
2013-10-10 10:33 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

niliu我们去买彩票吧
2013-10-10 10:39 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@霍大然 ...啥意思
2013-10-10 10:39 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@寂寞的瘦子走着
2013-10-10 10:58 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

@niliu 放开海尔吧，我们都是看着海尔兄弟长大的....
2013-10-10 10:58 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

@niliu 你这是要nitian ????
2013-10-10 11:12 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了，刷分还是不刷？)

@niliu 以前是给cert,现在转给厂商了
2013-10-10 11:24 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@霍大然昂，这个意思啊...别忽略给谁都行
2013-10-10 11:24 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@小川又放开....
2013-10-10 11:25 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@Coody 知天易逆天难
2013-10-10 17:49 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

@niliu 我刚才发现弱口令了！你真神奇，真的去买吧。
2013-10-10 20:23 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@寂寞的瘦子猜得中弱口令，猜不中彩票啊
2013-10-10 21:34 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

@niliu 俺相信你啊
2013-10-10 21:38 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

@niliu 洞主来预测下期双色球的号码，求私信
2013-10-10 21:46 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

@小川记得也分享给我，中大奖可以两个人一起中的。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-039248

漏洞标题：海尔某信息采集平台存在大量弱口令泄露敏感数据

相关厂商：海尔集团

漏洞作者： niliu

提交时间：2013-10-10 10:11

修复时间：2013-11-24 10:12

公开时间：2013-11-24 10:12

漏洞类型：基础设施弱口令

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-039248

漏洞标题：海尔某信息采集平台存在大量弱口令泄露敏感数据

相关厂商：海尔集团

漏洞作者： niliu

提交时间：2013-10-10 10:11

修复时间：2013-11-24 10:12

公开时间：2013-11-24 10:12

漏洞类型：基础设施弱口令

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-039248"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：