当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120216

漏洞标题:苏宁易购某内部即时通讯系统多个弱口令(可泄露大量员工邮箱、手机号等信息)

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: niliu

提交时间:2015-06-13 14:34

修复时间:2015-07-31 08:00

公开时间:2015-07-31 08:00

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-13: 细节已通知厂商并且等待厂商处理中
2015-06-16: 厂商已经确认,细节仅向厂商公开
2015-06-26: 细节向核心白帽子及相关领域专家公开
2015-07-06: 细节向普通白帽子公开
2015-07-16: 细节向实习白帽子公开
2015-07-31: 细节向公众公开

简要描述:

大周末的在线的人不多呀..

详细说明:

此系统为IBM旗下的Lotus软件,一款知名的企业级即时通信软件,通常部署在大中型企业中以提高员工实时沟通的能力。
苏宁对此系统认证方式采用了员工号认证,用之前的发现的工号弱口令都可以登陆。
地址:

http://sl.cnsuning.com/stwebclient/index.jsp


QQ20150613-1@2x.png


部分弱口令账号,密码123456

mask 区域
*****533*****
**********
*****972*****
**********
*****322*****
**********
*****574*****
**********
*****463*****
**********
*****054*****
**********
*****151*****
**********
*****210*****
**********
*****221*****
**********
*****224*****
**********
*****235*****
**********
*****251*****
**********
*****318*****
**********
*****411*****
**********
*****423*****
**********
*****430*****
**********
*****533*****
**********
*****553*****
**********
*****668*****
**********
*****692*****
**********
*****754*****
**********
*****762*****
**********
*****816*****
**********
*****916*****
**********
*****922*****
**********
*****927*****
**********
*****972*****
**********
*****135*****
**********
*****266*****
**********
*****267*****
**********
*****322*****
**********
*****334*****
**********
*****375*****
**********
*****409*****
**********
*****526*****
**********
*****706*****
**********
*****820*****
**********
*****952*****
**********
*****303*****
**********
*****376*****
**********
*****443*****
**********
*****509*****
**********
*****574*****
**********
*****595*****
**********
*****634*****
**********
*****859*****
**********
*****913*****
**********
*****923*****
**********
*****066*****
**********
*****223*****
**********
*****372*****
**********
*****463*****
**********
*****513*****
**********
*****685*****
**********
*****716*****
**********
*****34*****


启动后登陆看看

QQ20150613-6@2x.png


可以查看每一个员工的联系方式,包括邮箱 手机号 座机 职位等。

QQ20150613-9@2x.png


QQ20150613-10@2x.png


QQ20150613-12@2x.png


QQ20150613-10@2x.png


可以给用户发通知,在线即时聊天

QQ20150613-5@2x.png


如果攻击者利用社会工程学便可收集更多的敏感信息进一步渗透。

漏洞证明:

见详细说明

修复方案:

加强认证方式,修改弱口令
加强内部系统密码使用原则
内部系统建议放到内网或者走vpn

版权声明:转载请注明来源 niliu@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-16 07:59

厂商回复:

感谢提交,稍后送上礼品卡。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-13 21:02 | tombook ( 实习白帽子 | Rank:52 漏洞数:7 | 长期专心研究QQ 1907671)

    你提迟了。重复提交。

  2. 2015-06-16 09:07 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @tombook tom大神!

  3. 2015-06-17 07:46 | tombook ( 实习白帽子 | Rank:52 漏洞数:7 | 长期专心研究QQ 1907671)

    真的不怕神对手,就怕。。。。