当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079916

漏洞标题:上海市普陀区教育局某分站后台多账户弱密码(泄漏学生敏感数据)

相关厂商:CCERT教育网应急响应组

漏洞作者: 路人甲

提交时间:2014-10-20 14:53

修复时间:2014-10-25 14:54

公开时间:2014-10-25 14:54

漏洞类型:后台弱口令

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-20: 细节已通知厂商并且等待厂商处理中
2014-10-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上海市普陀区教育局某分站后台多账户弱密码

详细说明:

该站地址http://www.msxl.pte.sh.cn/
登陆地址http://www.msxl.pte.sh.cn/webschool/MySpace/
通过社工得到了该校初一年级某生QQ 询问了一下初始密码(123)以及几个老师的名字
已测试的几个账号:
乔影:123
王宏艳:123
顾俊:123
陈莉瑾:123
钱筱凤:123
``````
这里不再一一列举
通过类似@功能我获取到了所有教职工的名字
车文波,俞晓瑾,郑冲,归丽萍,王宏艳,李炯,陈莉瑾,李岚,李少峰,钱筱凤,施燕华,张政华,仲根美,周世亿,朱玉红,李玉群,吴丹,张静,朱沪疆,德语老师,张屹,袁虹,拓展,徐怡雯,周淳隽,龚炜,季华忻,蒋艳,刘伟杰,牟湘萍,饶敏,施忠菁,孙自力,杨飞灵,杨莉,周云弟,徐梅,陆偲瑜,胡美娟,胡明国,孔琦雯,李鋆,陆铸伟,罗耀荪,钱继华,邵娅蓓,沈喆,沈敏,万红艳,俞春红,袁明,翟伟,褚佩瑜,gujun,操玉姣,陈柳,顾俊,李凤,李禾,李丽,骆君,马峰英,乔影,王志友,张小燕,朱依雯,徐海栋,毕胜军,王晓燕,姚斌,陈艳,陈泓波,胡月红,黄华彬,蒋薇薇,金玉蘭,毛玲英,陶玲娟,王耀辉,张海松,郑敏,朱理洪,陈伟德,李则斌,陆剑芳,孙海英,陶晓刚,王建平,张红,管理员,LSF,瑞聪技术支持,外教,陈梅明,朱艳
有兴趣的可以去尝试

1.png


2.png


3.png


这里我就不深入了

漏洞证明:

该站地址http://www.msxl.pte.sh.cn/
登陆地址http://www.msxl.pte.sh.cn/webschool/MySpace/
通过社工得到了该校初一年级某生QQ 询问了一下初始密码(123)以及几个老师的名字
已测试的几个账号:
乔影:123
王宏艳:123
顾俊:123
陈莉瑾:123
钱筱凤:123
``````
这里不再一一列举
通过类似@功能我获取到了所有教职工的名字
车文波,俞晓瑾,郑冲,归丽萍,王宏艳,李炯,陈莉瑾,李岚,李少峰,钱筱凤,施燕华,张政华,仲根美,周世亿,朱玉红,李玉群,吴丹,张静,朱沪疆,德语老师,张屹,袁虹,拓展,徐怡雯,周淳隽,龚炜,季华忻,蒋艳,刘伟杰,牟湘萍,饶敏,施忠菁,孙自力,杨飞灵,杨莉,周云弟,徐梅,陆偲瑜,胡美娟,胡明国,孔琦雯,李鋆,陆铸伟,罗耀荪,钱继华,邵娅蓓,沈喆,沈敏,万红艳,俞春红,袁明,翟伟,褚佩瑜,gujun,操玉姣,陈柳,顾俊,李凤,李禾,李丽,骆君,马峰英,乔影,王志友,张小燕,朱依雯,徐海栋,毕胜军,王晓燕,姚斌,陈艳,陈泓波,胡月红,黄华彬,蒋薇薇,金玉蘭,毛玲英,陶玲娟,王耀辉,张海松,郑敏,朱理洪,陈伟德,李则斌,陆剑芳,孙海英,陶晓刚,王建平,张红,管理员,LSF,瑞聪技术支持,外教,陈梅明,朱艳
有兴趣的可以去尝试

1.png


2.png


3.png


这里我就不深入了

修复方案:

你们比我懂,据那个屌丝初中桑说他们的信息老师很吊

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-10-25 14:54

厂商回复:

最新状态:

暂无


漏洞评价:

评论