漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新网的备案系统存在万能密码
提交时间:2014-09-13 14:18
修复时间:2014-10-28 14:20
公开时间:2014-10-28 14:20
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-09-13: 细节已通知厂商并且等待厂商处理中
2014-09-13: 厂商已经确认,细节仅向厂商公开
2014-09-23: 细节向核心白帽子及相关领域专家公开
2014-10-03: 细节向普通白帽子公开
2014-10-13: 细节向实习白帽子公开
2014-10-28: 细节向公众公开
简要描述:
新网的备案系统存在万能密码 可控制所有备案用户 任意操作等等
详细说明:
无意中获取了一个密码。哪来的你们懂的! 我没做坏事。
http://121.14.4.151:81/toIcp.action
使用admin 密码 root_qwe!@#ZB)!
任意用户使用密码 root_qwe!@#ZB)! 都可以登录
漏洞证明:
你们数据量太大 我等了20分钟 还没进去 我直接换一个普通用户用万能密码
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-09-13 14:54
厂商回复:
非常感谢jgjsfgv@乌云,小新正在玩命确认及修复中
最新状态:
2014-09-17:漏洞已修复,非常感谢jgjsfgv@乌云
漏洞评价:
评论
-
2014-09-13 15:22 |
B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)
-
2014-09-13 15:58 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
-
2014-09-15 21:00 |
jgjsfgv ( 普通白帽子 | Rank:106 漏洞数:10 | www.baidu.com)
@李白 无法注入 新网还有好多洞 发出来没礼物 珍藏了。
-
2014-09-15 21:01 |
jgjsfgv ( 普通白帽子 | Rank:106 漏洞数:10 | www.baidu.com)
-
2014-09-16 11:08 |
B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)
-
2014-09-17 10:50 |
jgjsfgv ( 普通白帽子 | Rank:106 漏洞数:10 | www.baidu.com)
-
2014-09-17 12:22 |
B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)
-
2014-10-04 09:42 |
老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)
-
2014-10-04 13:09 |
jgjsfgv ( 普通白帽子 | Rank:106 漏洞数:10 | www.baidu.com)
-
2014-10-13 18:10 |
风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)
-
2014-10-13 18:10 |
风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)
-
2014-10-14 08:42 |
jgjsfgv ( 普通白帽子 | Rank:106 漏洞数:10 | www.baidu.com)
-
2014-10-28 22:22 |
Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)
-
2014-10-30 15:22 |
Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言,如此这般。)
-
2014-10-30 15:26 |
风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)
-
2014-10-30 15:26 |
风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)
