当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141242

漏洞标题:中国人保财险弱口令泄漏大量敏感信息

相关厂商:中国人保财险

漏洞作者: j1ang_y0u

提交时间:2015-09-15 11:18

修复时间:2015-10-30 12:00

公开时间:2015-10-30 12:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-15: 细节已通知厂商并且等待厂商处理中
2015-09-15: 厂商已经确认,细节仅向厂商公开
2015-09-25: 细节向核心白帽子及相关领域专家公开
2015-10-05: 细节向普通白帽子公开
2015-10-15: 细节向实习白帽子公开
2015-10-30: 细节向公众公开

简要描述:

RT

详细说明:

漏洞地址

http://www.e-picc.com.cn/ecargo/


top500用户名+弱口令爆破
收获颇丰

wanglei 123456
liudan 123456
yanghua 123456
wangrui 123456
liying 123456
lihao 654321
lixia 123456
yanglei 123456
zhanghao 123456
lijianguo 123456
liying 123456
zhanghaiyan 123456
liyumei 123456
wangyong 123456
chenmin 123456
chenying 123456
wangkun 123456
yangliu 123456
lixia 123456
liuyong 123456
liuyang 123456
zhangli 123456
wangdandan 123456
zhangyuhua 123456
liuqiang 123456
yangyong 123456
wanglihua 123456
lixiuhua 123456
zhangjie 123456
litao 123456
lihua 123456
liugang 123456
lining 123456
wanghong 123456
liujia 123456
zhaojing 123456
zhangjie 123456
gaofeng 123456
lijia 123456
zhaowei 654321
lijie 123456
lifeng 123456
lijie 123456
yanghong 123456
yangfan 123456
zhangdan 123456
wangjun 123456
wangjun 123456
zhangyong 123456
chenliang 123456
wangjing 123456
wangjing 123456
lixuemei 123456
liuwei 123456
zhanglong 654321
limin 123456
lishuzhen 654321
wangjianguo 123456
liliang 123456
liuchao 123456
zhanglihua 123456
zhangfeng 123456
wanglong 123456
liuting 123456
wangmin 123456
liuying 123456
wanglin 123456
chenjun 123456
liuying 123456
wanglin 123456
chenjun 123456
liping 123456
liping 123456
liuxin 123456
liujuan 123456
libin 123456
liuyu 123456
lina 123456
wangcheng 888888
zhangfan 123456
zhangping 123456

漏洞证明:

随便找个账号登录下

lihao 654321


大量保单泄漏

22.png


敏感信息泄漏

33.png

修复方案:

弱口令啊,网站可以做个强制密码强度
加验证码
觉得这系统重要,考虑两步验证吧

版权声明:转载请注明来源 j1ang_y0u@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-09-15 11:59

厂商回复:

该漏洞我们正在修改,尚未发布上线,再次被白帽子发现,同样非常感谢!

最新状态:

暂无


漏洞评价:

评论