当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138510

漏洞标题:奥鹏教育邮箱系统存在爆破风险(敏感信息泄漏)

相关厂商:open.com.cn

漏洞作者: 指尖上的故事

提交时间:2015-09-02 08:48

修复时间:2015-10-21 09:44

公开时间:2015-10-21 09:44

漏洞类型:网络设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-02: 细节已通知厂商并且等待厂商处理中
2015-09-06: 厂商已经确认,细节仅向厂商公开
2015-09-16: 细节向核心白帽子及相关领域专家公开
2015-09-26: 细节向普通白帽子公开
2015-10-06: 细节向实习白帽子公开
2015-10-21: 细节向公众公开

简要描述:

奥鹏...从那里招来这么多年轻又漂亮的妹子的.....

详细说明:

http://mail.open.com.cn/(其实邮箱域名有好几个.....)
没登录次数限制 没验证码 数据明文传输
爆破:姓名+弱密码
liuxin@mail.open.com.cn(主任都用弱密码....)
本次随便爆破了一下...证明存在爆破风险...
请企业及时做出修补....
下面贴点证明图...
有一批员工照片....就不贴出来了..

漏洞证明:

3.png

5.png

1.png

2.jpg

4.png

56.png

66.png


下面这张图(看出来规律了吗.邮箱就是姓名简写+@mail.open.com.cn)
其它这样很不安全..总有那么些员工安全意识低使用弱密码..导致敏感信息泄漏

QQ图片20150902081815.png


修复方案:

你们更专业

版权声明:转载请注明来源 指尖上的故事@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-06 09:42

厂商回复:

弱口令问题普遍存在,我们会综合考虑并整改。

最新状态:

暂无

漏洞评价:

评论