当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129437

漏洞标题:苏宁某重要站点存在大量弱口令(泄露用户手机姓名/客服姓名工号等)

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: 路人甲

提交时间:2015-07-27 09:49

修复时间:2015-09-10 09:56

公开时间:2015-09-10 09:56

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-27: 细节已通知厂商并且等待厂商处理中
2015-07-27: 厂商已经确认,细节仅向厂商公开
2015-08-06: 细节向核心白帽子及相关领域专家公开
2015-08-16: 细节向普通白帽子公开
2015-08-26: 细节向实习白帽子公开
2015-09-10: 细节向公众公开

简要描述:

rt

详细说明:

http://online.suning.com/console/
还是这个站点,admin密码修改了,但是其他的工号存在大量的123456弱密码,跑可以跑出来一大堆。站点没有登陆错误次数限制和验证码等措施。
列两个主要的权限比较大的:
04060378 汪*竹 供应商客服管理员
05071179 陆* 售后客服主管

QQ截图20150726005537.png


留言管理处包含大量客户姓名,手机号,邮箱等,40多万条记录。看了看都是可用账户,如果进行钓鱼,不知道会有多少人上当。。

QQ截图20150726014046.png


QQ截图20150726134043.png


内部聊天记录还有一部分内部人员工号

QQ截图20150726010105.png


还有很多商家的客服、管理员的账号。这些也是弱密码

QQ截图20150726144743.png


总之泄露了很多东西,看了看里边的SQL注入好像已经被修好了。

POST /console/Service/supplieradmin/pageMonitorGroup HTTP/1.1
Host: online.suning.com
Proxy-Connection: keep-alive
Content-Length: 91
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://online.suning.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://online.suning.com/console/Service/common/index?url=/supplieradmin/groupMonitor
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=10E4D54FE31394D0E4795242C72FE0FE; WC_PERSISTENT=kBIHktuloIMvIyAWPyWQTJ5aaX0%3d%0a%3b2015%2d07%2d22+16%3a16%3a25%2e357%5f1436423501269%2d49812%5f10052; _snma=1%7C143755192157859292%7C1437551921578%7C1437553541185%7C1437553599613%7C59%7C1; _ga=GA1.2.1808077704.1437551922; _customId=25e008045972; NSC_JOzowva3engs1kde2hps3rbjaw2tnc0=ffffffffc3a020c945525d5f4f58455e445a4a423660
filterParams=+and+supplierCode+like+'%25100000001%25'&page=1&rows=30&sort=groupId&order=asc


漏洞证明:

http://online.suning.com/console/
还是这个站点,admin密码修改了,但是其他的工号存在大量的123456弱密码,跑可以跑出来一大堆。站点没有登陆错误次数限制和验证码等措施。
列两个主要的权限比较大的:
04060378 汪*竹 供应商客服管理员
05071179 陆* 售后客服主管

QQ截图20150726005537.png


留言管理处包含大量客户姓名,手机号,邮箱等,40多万条记录。看了看都是可用账户,如果进行钓鱼,不知道会有多少人上当。。

QQ截图20150726014046.png


QQ截图20150726134043.png


内部聊天记录还有一部分内部人员工号

QQ截图20150726010105.png


还有很多商家的客服、管理员的账号。这些也是弱密码

QQ截图20150726144743.png


总之泄露了很多东西,看了看里边的SQL注入好像已经被修好了。

修复方案:

感觉这个系统好像不怎么受重视的样子。
苏宁大大求礼品卡。。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-07-27 09:54

厂商回复:

感谢提交,此系统即将下线。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-27 10:18 | missy ( 普通白帽子 | Rank:414 漏洞数:67 | 要么旅行,要么读书,身体和灵魂,必须有一...)

    还是那个系统么,都被日穿了,我哪里有一大批弱口令都没提交。