当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119587

漏洞标题:一个弱口令进入申万宏源证券统一认证平台

相关厂商:申万宏源证券

漏洞作者: 安全小飞侠

提交时间:2015-06-10 16:28

修复时间:2015-07-26 15:42

公开时间:2015-07-26 15:42

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-10: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开

简要描述:

看到身边同事每天各种在A股中狂赚,我也终究没有把控住,决定也凑凑热闹,可是你们的系统怎么能这么多的弱口令呢,叫我们怎么放心在股市驰骋,在股市驰骋,股市驰骋,市驰骋,驰骋,骋...

详细说明:

弱口令存在于一个申万宏源证券的统一认证平台:
http://cas.hysec.com/index.jsp
用户名: hysec
密码: 000000

1.jpg


点到即止,怕查水表,就不深入了,请自行修改吧!

漏洞证明:

1.jpg

修复方案:

保护股民利益,从你做起,还等啥,抓紧改密码吧

版权声明:转载请注明来源 安全小飞侠@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-06-11 15:41

厂商回复:

感谢对申万宏源证券有限公司的支持!对贵平台反馈的问题,我司做如下说明:
该账户为系统测试帐号,6个0是该帐号的初始密码,且首次登录后系统会强制要求用户修改密码,且新密码必须符合密码复杂度要求的安全策略。作为测试帐号,它无任何权限,登录后无法访问任何内部相关资源,对各业务系统也不会造成任何影响。我司目前已对测试帐号和初始密码的情况进行了排查和清理。

最新状态:

暂无


漏洞评价:

评论