当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095892

漏洞标题:一次由搜索引擎引发的弱口令导致某网上阅卷平台可被登入并泄露一定量学生资料

相关厂商:山大鲁能信息科技有限公司

漏洞作者: 乌云一朵朵

提交时间:2015-02-06 10:16

修复时间:2015-03-23 10:18

公开时间:2015-03-23 10:18

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网络敏感信息泄露导致重要资料泄密。

详细说明:

在搜狗问问发现一个关于用网站http://123.135.104.38:90查询成绩的提问,感兴趣地点了一下问题相关,发现有人发布了一个弱口令(666666),简单测试了弱口令用户名123,以用户身份成功登入网上阅卷系统。
该网上阅卷系统为山大鲁能信息科技有限公司设计,检测发现有天然缺陷,无验证码保护,导致管理员弱口令密码(admin/admin7)被爆破,考试成绩\学生信息有泄露风险。
进入后台后发现密码未加密,也是极大的风险。

漏洞证明:

如图:

1.png

2.png

3.png

4.png

4.5.png

5.png

6.png


7.jpg

修复方案:

1、杜绝弱口令用户名及密码。
2、建议密码加密,网上阅卷系统增加验证码机制。
3、增强员工安全意识,重要信息不在公共网络展示。

版权声明:转载请注明来源 乌云一朵朵@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论