漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国招标网某功能设计逻辑缺陷可撞库(成功帐号证明)
提交时间:2015-11-26 15:24
修复时间:2016-01-14 15:58
公开时间:2016-01-14 15:58
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:2
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-11-26: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开
简要描述:
中国招标网(www.bidchance.com)在有关部门和权威专家的指导下,致力于为企业提供招标、采购、拟在建项目信息及网上招标采购等一系列商务服务。中国招标网是中国招标采购领域的最佳资讯和交易网站,为各级政府采购、招标代理机构、招标企业、供应商提供强大的专业招标采购信息查询和相关服务。
中国招标网以帮助企业敏锐掌握市场动向、迅速获得市场商机为宗旨,借助丰富的政府资源,全面收集国内市场经济环境、国内政策环境及国际贸易环境的变化信息,在激烈的市场竞争中发掘新的市场机会,监视竞争对手及潜在的竞争对手,做到'知己知彼,百战不怠',为企业建立自己的竞争情报信息系统提供平台和信息资源。
中国招标网运用现代信息手段,发挥网络媒体之优势,以先进的网络技术大幅度提高招标采购部门的工作效率,极大地方便采购单位及供应商查询有关招投标信息,有效地降低采购成本,也为广大供应商创造了一个"公平、公开、公正"的市场环境。使招标采购商机更加广布、信息交换更加迅捷、招标操作更加规范、采购过程更加透明,从而进一步发挥招投标机制优化资源配置的作用。
面对纷杂的招投标服务市场,中国招标网坚持以诚信为本、以企业的需求为中心、以信息质量和服务质量为基本点,虚心听取企业的意见和建议,不断提高服务质量,为企业寻找上下游企业提供快捷的商务平台、丰富的商务资源和精确投放企业产品宣传的平台。
详细说明:
中国招标网
在用户登录地区没有验证码机制
二话不说抓包,发现post的用户名和密码都是明文的
用top500百家姓+密码123456爆破(为665,666,667的都是密码正确的)
就是这样
漏洞证明:
泄露用户(部分)密码都为123456
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-11-30 15:56
厂商回复:
CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无
漏洞评价:
评价
-
2015-11-29 08:50 |
Code Life ( 实习白帽子 | Rank:73 漏洞数:26 | Code Life,Jion It!)
-
2015-11-29 08:51 |
Code Life ( 实习白帽子 | Rank:73 漏洞数:26 | Code Life,Jion It!)