东北证券邮箱系统存在244个弱口令员工账户

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0166077

漏洞标题：东北证券邮箱系统存在244个弱口令员工账户

漏洞作者：路人甲

提交时间：2015-12-30 16:26

修复时间：2016-01-09 01:28

公开时间：2016-01-09 01:28

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-30：细节已通知厂商并且等待厂商处理中
2016-01-09：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

无意间浏览到
WooYun: 证券安全之东北证券某后台弱口令(获取大量内部信息)
就想是不是还有其他弱口令
于是参照之前的思路，有了下面的测试

漏洞证明：

邮箱服务器地址

http://61.139.133.70/

获得的244个员工邮箱密码为

nesc123456

员工账户如下

splhnkglqdwml
gznsjsl
tjxsdj
weifang
lazzll
pdskyl
sgbjbl
slbhdj
sjhssj
wfbgdj
tjxsdj_sp
ccjfl
fsxnj
sllhl
xycyl
jyjydj
ljljdj
dbzqhsl
dbzqqd
testfeedback
hlwhl
whtyl
wangyiqi_mail
shyxzx
bhqhss
zhang_zhenh
heyuanyuan
zhangerjun
zhang_sj
zhang_zh
liangi_bj
wangmys
zhao_yang
qdfgs
wang_gb
zhang_yang
zhaojinke
lichunyu
zhang_fan
gonghong
liweiwei
zhuangzh
ge_wj
zhangyb
zhengjh
wang_hao
itservice
lianghj
wangsh
wang_yue
xuyuxiu
shengbq
zhanglp
zhanglw
zhangjm
linyf
zuoenze
hphuang
zhangdk
zhangkx
service_mot
liangsn
li_jl
zhonglj
shanht
liushy
longjx
shaoqj
wangdd
wanggz
wangzg
xiaogc
zhonggang
yangsw
zhaoguang
zhoudl
zhaoxh
liuys
chenxf
shenpp
wangliang
wangpw
zhangsong
zhoujw
wangmj
chenxh
tianyd
chenzy
wanglf
wangyj
zhouyz
wangcc
wangjb
yuanzw
zhaotc
yangpl
liu_yao
dengzy
jiangjing
yang_yi
jiayc
liuhw
liutb
xuyaq
zhush
li_nan
guojy
jiangnan
chenlm
wenzh
tiansc
linzhh
caoxd
houxq
liujx
weiyf
wushuang
yaowq
shigq
wangyong
jinzy
gaosh
linzh
xiely
niuxd
yinqy
fengting
liuwf
luoll
huqk
libc
libw
lifh
limr
lvcl
qiyw
wangjun
xucy
xuhl
zhoujie
yanxr
wanghao
shilh
chxh
lirq
yugq
niuling
xuhb
xull
lishuai
mahl
tanglei
lvxb
muyj
huxt
heyx
lizz
luyd
mayb
xhb
zhuangz
anning
guohong
huangz
liuyao
ljl
jiangd
dbzqsyq
hxy
litong
wwj
yuchao
zcc
zhangg
zlx
zxh
sjr
shasha
zyy
guodan
wjh
xll
cyx
wjm
xupeng
cww
fxz
gongyi
hxj
jlx
lxj
ldx
lgb
ljj
lqj
whb
xyc
xlp
xhr
zhangb
zxw
zcd
shenc
wangr
zhouw
zyl
wangy
gaoyu
yaoyao
tangj
lihao
xuyan
liwei
hanxu
jq
xiaod
ligao
jiaq
sunj
lius
liuj
hanb
linx
louj
sunb
zhuj
hanx
maji
xuem
guoh
gel
lvj
suij
fut
lid
jiy
ln
lh
yj
dz
ll
yg
luy
test2

登陆尝试

不一一证明了
请自行核查修改密码

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-01-09 01:28

厂商回复：

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0166077

漏洞标题：东北证券邮箱系统存在244个弱口令员工账户

相关厂商：东北证券股份有限公司

漏洞作者：路人甲

提交时间：2015-12-30 16:26

修复时间：2016-01-09 01:28

公开时间：2016-01-09 01:28

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0166077

漏洞标题：东北证券邮箱系统存在244个弱口令员工账户

相关厂商：东北证券股份有限公司

漏洞作者： 路人甲

提交时间：2015-12-30 16:26

修复时间：2016-01-09 01:28

公开时间：2016-01-09 01:28

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0166077"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云