当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093034

漏洞标题:春秋航空某站敏感信息泄漏导致进后台(导致几千名员工信息泄漏)

相关厂商:春秋航空

漏洞作者: 蓝冰

提交时间:2015-01-21 09:51

修复时间:2015-03-07 09:52

公开时间:2015-03-07 09:52

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-23: 厂商已经确认,细节仅向厂商公开
2015-02-02: 细节向核心白帽子及相关领域专家公开
2015-02-12: 细节向普通白帽子公开
2015-02-22: 细节向实习白帽子公开
2015-03-07: 细节向公众公开

简要描述:

咳咳

详细说明:

http://218.78.217.76/
不好意思哈 同一个站撸了三次

屏幕快照 2015-01-21 0.33.54.png


屏幕快照 2015-01-21 0.01.53.png


举报页面 在工号那里写了个2 然后就列出了 几十个员工工号和姓名
然后拿这些工号进行爆破

屏幕快照 2015-01-20 23.19.41.png


成功爆出了一个弱口令
进后台

屏幕快照 2015-01-21 0.32.10.png


后台有很多信息很多功能
然后得到了更多的员工信息
4700+

屏幕快照 2015-01-21 0.33.32.png


这些信息有什么危害都懂的
收集工号 进行弱口令挖掘 尝试其他子站 扩大范围

漏洞证明:

已证明

修复方案:

尽量不要返回一些敏感信息

版权声明:转载请注明来源 蓝冰@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-01-23 09:36

厂商回复:

已收到,谢谢。

最新状态:

暂无

漏洞评价:

评论