漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0119587
漏洞标题:一个弱口令进入申万宏源证券统一认证平台
相关厂商:申万宏源证券
漏洞作者: 安全小飞侠
提交时间:2015-06-10 16:28
修复时间:2015-07-26 15:42
公开时间:2015-07-26 15:42
漏洞类型:后台弱口令
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-10: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开
简要描述:
看到身边同事每天各种在A股中狂赚,我也终究没有把控住,决定也凑凑热闹,可是你们的系统怎么能这么多的弱口令呢,叫我们怎么放心在股市驰骋,在股市驰骋,股市驰骋,市驰骋,驰骋,骋...
详细说明:
弱口令存在于一个申万宏源证券的统一认证平台:
http://cas.hysec.com/index.jsp
用户名: hysec
密码: 000000
点到即止,怕查水表,就不深入了,请自行修改吧!
漏洞证明:
修复方案:
保护股民利益,从你做起,还等啥,抓紧改密码吧
版权声明:转载请注明来源 安全小飞侠@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-06-11 15:41
厂商回复:
感谢对申万宏源证券有限公司的支持!对贵平台反馈的问题,我司做如下说明:
该账户为系统测试帐号,6个0是该帐号的初始密码,且首次登录后系统会强制要求用户修改密码,且新密码必须符合密码复杂度要求的安全策略。作为测试帐号,它无任何权限,登录后无法访问任何内部相关资源,对各业务系统也不会造成任何影响。我司目前已对测试帐号和初始密码的情况进行了排查和清理。
最新状态:
暂无