漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-066593
漏洞标题:北京自然博物馆后台弱口令或致信息泄露风险
相关厂商:北京自然博物馆
漏洞作者: 蓝色水晶球
提交时间:2014-07-01 15:32
修复时间:2014-08-15 15:34
公开时间:2014-08-15 15:34
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-01: 细节已通知厂商并且等待厂商处理中
2014-07-06: 厂商已经确认,细节仅向厂商公开
2014-07-16: 细节向核心白帽子及相关领域专家公开
2014-07-26: 细节向普通白帽子公开
2014-08-05: 细节向实习白帽子公开
2014-08-15: 细节向公众公开
简要描述:
管理员弱密码,可以登入后台,可看到X万多条个人身份信息,包括身份证号。
另外,业务逻辑设计有误——可以抢注游客的预约。
详细说明:
我不详细说了,直接上图说明。
http://211.103.239.83:8090/tb/login.jsp
输入admin/admin,直接进入。
可查看到92万多条游客的身份证号
从页面统计上看有92510个页面,每个页面有10人的身份信息,推论之,泄露了92万多(925100)条个人信息。
同时,也存在业务逻辑错误——可以抢注游客的预约。
选择某个游客预约信息,选择“查看”
选择“修改”
选择“保存”,可以看到预约号还是原来的、身份证号却变成了抢注游客的了,这里就不上图了,我亲自实验过。就这样,原始游客的预约信息被抢注游客更新了。
理论上,抢注者可以堂而皇之地拿着他的身份证选择任何一天去北京自然博物馆游玩了,不受任何限制!!!
漏洞证明:
我不详细说了,直接上图说明。
http://211.103.239.83:8090/tb/login.jsp
输入admin/admin,直接进入。
可查看到92万多条游客的身份证号
从页面统计上看有92510个页面,每个页面有10人的身份信息,推论之,泄露了92万多(925100)条个人信息。
同时,也存在业务逻辑错误——可以抢注游客的预约。
选择某个游客预约信息,选择“查看”
选择“修改”
选择“保存”,可以看到预约号还是原来的、身份证号却变成了抢注游客的了,这里就不上图了,我亲自实验过。就这样,原始游客的预约信息被抢注游客更新了。
理论上,抢注者可以堂而皇之地拿着他的身份证选择任何一天去北京自然博物馆游玩了,不受任何限制!!!
修复方案:
1、管理员设置强密码
2、游客身份证信息不能明文显示
3、修复业务逻辑
版权声明:转载请注明来源 蓝色水晶球@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2014-07-06 10:53
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT通报给北京市信息化主管部门处置。按信息泄露风险评分,rank 16
最新状态:
暂无