漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某自治区审计厅gov邮箱大量弱口令
提交时间:2015-09-09 12:22
修复时间:2015-10-26 13:56
公开时间:2015-10-26 13:56
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-09-09: 细节已通知厂商并且等待厂商处理中
2015-09-11: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开
简要描述:
无验证码 可爆破
详细说明:
内蒙古自治区审计厅gov邮箱大量弱口令
内蒙古自治区审计厅邮件系统登录口
审计厅网站上有人事信息一览表,将表中的邮箱提取整理作为用户名字典,123456作为弱密码字典,因邮件系统设计不当,无验证码,burpsite抓包,导入字典爆破。
**.**.**.**/zwgk/rsxx/6423.shtml
副厅长邮箱
用爆破成功的账号登陆邮箱,然后提取全局通讯录,用同样的步骤爆破。
审计厅邮箱共有2600个账号,经测试发现,存在弱口令的有2201个,范围包括审计厅、各盟市审计局、旗县审计局。
存在弱口令的账号列表如下
漏洞证明:
<img src="https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201509/07100116f2e7827a9504ad15017d476059c62955.jpg"
修复方案:
1、加验证码。
2、修改密码,严禁弱密码。
3、加强邮箱管理使用人员安全意识。
版权声明:转载请注明来源 班尼路@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2015-09-11 13:54
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给内蒙古分中心,由其后续协调网站管理单位处置。
最新状态:
暂无
漏洞评价:
评论