当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129282

漏洞标题:华润集团招聘网站系统后台可撞库(后台已进)

相关厂商:华润集团

漏洞作者: ShAdow丶

提交时间:2015-07-27 17:11

修复时间:2015-09-10 17:12

公开时间:2015-09-10 17:12

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

233

详细说明:

http://career.crc.com.cn/hrjob/index.jsp

4~Q}1H%TPJ}1LG@XEEH8@64.png


由于没有验证码,以及可以检测用户的存在与否,直接爆破

65)Y~E71EF2(4T}{)%D1USE.jpg


用户还挺多,随便挑了个,爆破了下密码

liying 123456


成功进去

67)H2%)TOBT4}JPPX2Y)A67.png


漏洞证明:

接着翻了翻,发现还可以给应聘者发邮件,短信。

FF~UOMD7%L8{GQV$]FL2G@I.png

FF~UOMD7%L8{GQV$]FL2G@I.png

我想作为一个去面试的人,这邮件应该很重要吧,也很能让用户信任,那用来钓鱼欺诈呢?后果可想而知~~~

修复方案:

1.管理员改个难度强的密码吧
2.设个验证码吧

版权声明:转载请注明来源 ShAdow丶@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

评论

  1. 2015-09-10 18:30 | Mark0smith ( 路人 | Rank:12 漏洞数:4 | 我更像是一个小松鼠)

    还以为厂家拒绝之后会偷偷修复下。没想到并没有。。。。。