当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139581

漏洞标题:中国证券投资资金业协会员工邮箱存在弱口令(泄漏所有员工邮箱)

相关厂商:中国证券投资基金企业协会

漏洞作者: j1ang_y0u

提交时间:2015-09-09 18:14

修复时间:2015-10-26 14:40

公开时间:2015-10-26 14:40

漏洞类型:后台弱口令

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-09: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

中国证券投资资金业协会员工邮箱弱口令

详细说明:

地址

http://mail.amac.org.cn/


top500爆破

1.jpg


提示密码过期,可以直接修改密码,将密码修改成12345678

用户名:zhangchao 密码:12345678


2.png


3.png


用zhangchao 12345678登陆
敏感信息泄露,搞金融的真的很有钱

4.png


所有部门员工邮箱

5.png


将搜集的所有用户名再一次弱口令爆破

caihp
guqi
houkun
huangjsh
huangyn
jidy
jinnai
liming
liran
liye
liuming
liuyy
peily
sunyan
wanglin
wangmeng
wangwh
wugq
yangqq
zhangxc
denghl
doujing
lichao
liangshuang
liuwy
xuqk
yanyan
zhouxc
jiall
lixing
liuyang
shenning
zhengfs
huwl
huxiao
huangjx
liaohui
liaoych
raowj
yuangj
sunhyj
tangshu
yanghch
yuanbiao
zhangqy
zhangqin
zhoupj
zouquan
gaozheng
huangbiao
lina
linjr
liuchang
lvjuan
wujia
xiaomy
xukd
zhangchao
zhoulei
yewan
guorp
jinky
linan
tangyy
wucp
xiongxin
yangzhe
zhangjk
zhaobing
bicong
guojh
hanbing
wangcong
wumx
zhanghg
chenjd
chengpeng
duanqt
luoliang
sunly
xujj
yangjf
yepn
yeshr
yudn
yuxf
zhangyu
zhoulp
zhousheng
zhujj
chenpl
chenyuan
chenzy
cuina
daiyj
dongyt
duchen
guantt
jiangbh
lengxg
lijh
liwei
lixy
liuym
luoying
shimh
wangqiang
weixin
wushsh
hang_bing
huangzhp
lidd
liyou
maxuef
maojy
yumj
zhangqi
caody
honglei
hujf
jiahb
sunjie
tangjx
zhangxa
ahongrs
caocf
chenmm
huanghk
liuych
majt
shitan
xiaobin
zhangzhe
zhangzch
zhengwt
zhengxt
zhouyou
zhouzhou
baoyl
chenchy
chensx
chenych
diaoyn
dingbx
huangshc
lijiao
liulian
liuyq
qiangqj
qingliang
sumeng
wangyi
xukan
zhangmk
zhengxing
zhuangszh
caoran
luochen
mawen
renhn
wangshb
wenshy
yangbl
zhangrong


结果挺有收获

6 (2).jpg


内容长度503是登陆成功,长度2000多的密码过期,可以直接修改
防止被查水表,没有一个个登陆查看邮件内容了。。。

漏洞证明:

如上

修复方案:

修改弱口令
加强员工的安全意识

版权声明:转载请注明来源 j1ang_y0u@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-09-11 14:38

厂商回复:


CNVD确认并复现所述情况,已经转由CNCERT向证券业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-26 15:04 | 风格 ( 路人 | Rank:29 漏洞数:10 | 注册为白帽子,你可以在这里提交你发现的漏...)

    邮箱都贴出来不太好吧