当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071777

漏洞标题:上大学网某邮箱泄露导致敏感信息泄露

相关厂商:sdaxue.com

漏洞作者: 阿萨帝

提交时间:2014-08-10 10:42

修复时间:2014-09-24 10:44

公开时间:2014-09-24 10:44

漏洞类型:网络敏感信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-10: 细节已通知厂商并且等待厂商处理中
2014-08-10: 厂商已经确认,细节仅向厂商公开
2014-08-20: 细节向核心白帽子及相关领域专家公开
2014-08-30: 细节向普通白帽子公开
2014-09-09: 细节向实习白帽子公开
2014-09-24: 细节向公众公开

简要描述:

提交的漏洞未通过审核,说缺少帐号密码,现补上,不能电脑上网,手机截图不清晰可以看未通过的图片。如果通过请删除账号密码,处理下图片。

详细说明:

上大学域名注册信息使用了TOM邮箱(还有人用TOM邮箱?),找出了密码,看了下邮件该邮箱好像个人公司混用,新网(可控制域名吧)、中国联通某平台、支付宝、京东、当当、百度使用该邮箱,都可以重置这些网站密码,只登陆了新网账户,其它未动。未读邮件差不多有一年没看了。
tom邮箱账号密码qikun2008@tom.com;Y697805

280390246-419493f45eafaae2.jpg


28039024619a63c0fd4350846.jpg


新网账号邮箱,密码qikun20082008

2803902461c3de0f57a8f2ab1.jpg


漏洞证明:

中国联通合作方门户系统,账号ex-qikun4,密码eip123

Screenshot_2014-08-09-23-33-40.png


修复方案:

你们域名该续费了,
更换密码或邮箱,
齐~安全意识不足,
攻城狮工作偷懒了。o(∩_∩)o

版权声明:转载请注明来源 阿萨帝@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-10 16:44

厂商回复:

这个域名申请以及注册是一位人事助理负责申请以及续费的,安全意识薄弱,管理不善,现郑重感谢洞主做出的贡献!!会为你申请现金奖励。我们周一会开会讨论这个重大安全隐患,届时会联系你,再次感谢!~

最新状态:

2014-08-11:已经修改了邮箱密码,和新网的密码,中国联通合作方门户系统的网址请提供,原负责人出差在外不方便,现交由工程狮处理修改密码事宜~


漏洞评价:

评论

  1. 2014-08-12 14:42 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    @阿萨帝 现金奖励 我也要去表示表示