当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117400

漏洞标题:国联证券邮件系统两枚用户弱口令

相关厂商:国联证券

漏洞作者: ucifer

提交时间:2015-05-31 23:35

修复时间:2015-07-16 08:46

公开时间:2015-07-16 08:46

漏洞类型:服务弱口令

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-31: 细节已通知厂商并且等待厂商处理中
2015-06-01: 厂商已经确认,细节仅向厂商公开
2015-06-11: 细节向核心白帽子及相关领域专家公开
2015-06-21: 细节向普通白帽子公开
2015-07-01: 细节向实习白帽子公开
2015-07-16: 细节向公众公开

简要描述:

RT

详细说明:

http://mail2.glsc.com.cn:8084/names.nsf?Login
百度搜出几个邮箱然后fuzz。。
用户名:glqh 密码:a
用户名:zhoujing 密码:a
然后就这么进去了~~

QQ截图20150531225837.png


QQ截图20150531230304.png

漏洞证明:

然后这里,http://mail2.glsc.com.cn:8093/stcenter.nsf
用上面的用户名和密码依然能够进去。。

QQ截图20150531230447.png


由于是邮件系统所以信息比较敏感。。至于用户名密码,控制一下,就不要用这么悲惨的弱口令了。。

修复方案:

自己弄吧

版权声明:转载请注明来源 ucifer@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-06-01 08:45

厂商回复:

已联系管理员确认

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-01 10:23 | ucifer ( 普通白帽子 | Rank:156 漏洞数:52 | 萌萌哒~)

    @国联证券,内部账号信息,规定密码强度位数,最好加上验证码机制.

  2. 2015-06-01 16:49 | 国联证券(乌云厂商)

    已接收该漏洞,谢谢