当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153820

漏洞标题:辽宁某市住房公积金管理处90%公职人员敏感信息泄漏

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-11-17 14:31

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-17: 细节已通知厂商并且等待厂商处理中
2015-11-24: 厂商已经确认,细节仅向厂商公开
2015-12-04: 细节向核心白帽子及相关领域专家公开
2015-12-14: 细节向普通白帽子公开
2015-12-24: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

领导的,干部的,教师的甚至地方主官的,信贷信息收入工资信息泄漏。。。。
密码写在脑门上 ,脑门上呀脑门上。。。。服了

详细说明:

朝阳市住房公积金新网站所有用户密码默认为111111切没有通知朝阳市与公积金有关的职工领导且直接写在了网站下方,攻击者可用默认密码进入系统调阅朝阳所有公职人员的债务信息与征信情况。
随机抽取样本成功率为90%,朝阳市国库供养人员即公积金缴纳者数量应该超过十万。
如图
问题网址:

http://**.**.**.**/wscx/


由于地方基层对用户隐私的保护意识单薄,登录用的职工领导身份证号可直接百度获得,比如百度“朝阳教师 身份证” 得到结果之一如下
http://**.**.**.**/jiaoshizhaopin/liaoning/chaoyangjiaoshizhaopinwan/2014-0825-22505.html
其部分样本如下,我们选取十个。
2014年辽宁省朝阳市北票市“特岗计划”教师招聘录用名单查询
1 小学语文 王爽 211381198801101823 69.0 88.4 157.4 78.7
2 小学语文 邢冰冰 211303198911030422 64.2 91.4 155.6 77.8
3 小学语文 叶丽萍 211381198612142829 65.4 89.6 155 77.5
4 小学语文 潘莹 211322199305180045 66.6 88.4 155 77.5
5 小学语文 李紫琼 211302199101250026 65.2 89.6 154.8 77.4
6 小学语文 白杨 211381198709282449 66.8 88 154.8 77.4
7 小学语文 陈海清 220524198708082028 67.6 87 154.6 77.3 密码已经修改
8 小学语文 王艳 211381199208123428 63.0 91.4 154.4 77.2
9 小学语文 刘佳丽 211381198911133041 68.6 85.6 154.2 77.1
10 小学语文 杨律军 211381198904300219 64.0 88.4 152.4 76.2
用这十个教师的样本来推算整个公职人员隐私泄漏的概率。
经测试,样本默认密码存在概率为90%,也就是说有90%的辽宁朝阳公职人员,包括机关领导,公务员,事业单位及人民教师的房贷及征信信息可被黑客窃取。

漏洞证明:

图片1.jpg

图片2.jpg

图片3.jpg

图片4.jpg

图片6.jpg

图片5.jpg

图片6.jpg

图片7.jpg

图片8.jpg

图片9.jpg

图片10.jpg

图片11.jpg

图片12.jpg

图片13.jpg

图片14.jpg

图片15.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-11-24 11:24

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给辽宁分中心,由辽宁分中心后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评价