漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-080120
漏洞标题:某通用系统万能密码漏洞
相关厂商:亿禾工场
漏洞作者: 浮世浮城
提交时间:2014-10-20 17:05
修复时间:2015-04-02 11:01
公开时间:2015-04-02 11:01
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-20: 细节已通知厂商并且等待厂商处理中
2014-10-25: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-12-19: 细节向核心白帽子及相关领域专家公开
2014-12-29: 细节向普通白帽子公开
2015-01-08: 细节向实习白帽子公开
2015-04-02: 细节向公众公开
简要描述:
“哥们,借点钱,我去接下我女朋友”“哟呵,没看出来,居然有女人了,奇迹啊,要多少?”“20。”“20?你打算请你女朋友吃棒棒糖吗?能够吗?”“够了,我付快递费………”
详细说明:
亿禾工场 http://www.jxehe.com/
对合作厂家影响还是比较大的
举例
admin'or'1'='1
嘉兴市实验小学创办于1905年,迄今已有一百多年的历史。嘉兴市实验小学是一所省一流的现代化、示范化学校。学校现有东、西两校区。
嘉兴市实验小学
http://www.jxsyxx.com/Manage/
所有学生数据
随便进去一个看看 身份证 监护人电话都有
监护人姓名 单位 银行帐号
简直就是黑产必备
咦 还同步了校讯通
就选这个ZZX看看 登录成功
跳转校讯通看看
不错不错是可以登录的
在看看别家用亿禾工场的系统的后台会不会也是万能密码
海宁市紫薇小学
http://www.hnzwxx.com/Manage/
依旧万能密码
继续
南湖区名师工作室
http://www.nhqms.com/Manage/
用户名都是手机号码.
继续
东北师范大学南湖实验学校
http://www.dbsdnhsy.com/Manage/
不错还有一票帐号
智联教育
http://www.jxzljy.com/Manage/
高照幼儿园
http://www.jxgzyey.com/Manage/
好像这家就是针对学校和教育机构的 求通用
漏洞证明:
亿禾工场 http://www.jxehe.com/
对合作厂家影响还是比较大的
举例
admin'or'1'='1
嘉兴市实验小学创办于1905年,迄今已有一百多年的历史。嘉兴市实验小学是一所省一流的现代化、示范化学校。学校现有东、西两校区。
嘉兴市实验小学
http://www.jxsyxx.com/Manage/
所有学生数据
随便进去一个看看 身份证 监护人电话都有
监护人姓名 单位 银行帐号
简直就是黑产必备
咦 还同步了校讯通
就选这个ZZX看看 登录成功
跳转校讯通看看
不错不错是可以登录的
在看看别家用亿禾工场的系统的后台会不会也是万能密码
海宁市紫薇小学
http://www.hnzwxx.com/Manage/
依旧万能密码
继续
南湖区名师工作室
http://www.nhqms.com/Manage/
用户名都是手机号码.
继续
东北师范大学南湖实验学校
http://www.dbsdnhsy.com/Manage/
不错还有一票帐号
智联教育
http://www.jxzljy.com/Manage/
高照幼儿园
http://www.jxgzyey.com/Manage/
好像这家就是针对学校和教育机构的 求通用
修复方案:
你懂得
版权声明:转载请注明来源 浮世浮城@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-04-02 11:01
厂商回复:
最新状态:
暂无