当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140099

漏洞标题:益丰大药房连锁股份有限公司某处弱密码致敏感信息泄露

相关厂商:益丰大药房连锁股份有限公司

漏洞作者: soFree

提交时间:2015-09-12 09:38

修复时间:2015-10-29 23:12

公开时间:2015-10-29 23:12

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-14: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开

简要描述:

益丰大药房是一家全国大型平价药品超市连锁上市企业,2015年下半年发力的益丰大药房在六天内并购了5家药店共计63家门店,斥资超过2.3亿元,并豪言要在三年内并购1000家门店,再自建1000家门店,以完成区域布局,向全国扩张。
话说上市企业不会忽略安全漏洞吧

详细说明:

弱密码存在于OA系统,通过密码和账号暴破,跑出大量员工账号,从而成功登陆进OA系统,然后可发现大量敏感信息,从而进行进一步的攻击

漏洞证明:

在益丰大药房电商官网看到了OA系统登录入口

在益丰大药房电商官网看到了OA系统登录入口.png


无验证码和密码错误频次限制,可密码和账号暴破

无验证码和密码错误频次限制,可密码和账号暴破.png


一般OA系统账号都是企业员工姓名的拼音、或者别号的全拼
使用top500常见用户名字典成功找出近50个有效账号,其中弱密码固定为123456

使用top500常见用户名字典成功找出近50个有效账号.png


登录成功,里面很多敏感信息

登录成功,里面很多敏感信息.png


可查看到全集团员工的信息,包括:姓名、职务、上级、固话、手机、邮箱等等

可查看到全集团员工的信息,包括-姓名职务固话手机邮箱.png


还可进入查看每个员工的详细

还可进入查看每个员工的详细.png


在这里,我通过全集团员工信息,只做了100多个账号字典,重新拿弱密码123456跑了一下
发现成功跑出10多个账号,其中好几个账号是门店店长,还有一个是财政部部长,职位越高,可被攻击者利用的价值也越大,危害也越大

弱密码成功发现11个.png


因员工好几千人,本人没全部做成账号字典。
按照比例估算,约有10%的账号未修改密码,依然使用的公司初始密码123456
点到为止,不做进一步分析攻击,危害不能说不大啊
另外,你们的外网学习平台也无验证码,可暴力破解,可能也存在相同问题,没做深究,建议也做做排查和优化

修复方案:

1.弱密码:提高员工的安全意识,集体改密码
2.OA系统你们如果实在是要放在外网访问,是不是做个网段白名单呀
3.OA登录,加上验证码、加个错误频次限制吧
4.外网学习平台也别忘了

版权声明:转载请注明来源 soFree@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-14 23:11

厂商回复:

CNVD确认所述漏洞情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-10 11:08 | soFree ( 路人 | Rank:19 漏洞数:3 | so Free)

    话说你们某处的账号不区分大小写吗,这个也麻烦你们优化下