当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0204709

漏洞标题:百度某员工邮箱弱口令可影响内部工作交流与技术分享等信息

相关厂商:百度

漏洞作者: 路人甲

提交时间:2016-05-03 22:07

修复时间:2016-06-18 14:40

公开时间:2016-06-18 14:40

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-03: 细节已通知厂商并且等待厂商处理中
2016-05-04: 厂商已经确认,细节仅向厂商公开
2016-05-14: 细节向核心白帽子及相关领域专家公开
2016-05-24: 细节向普通白帽子公开
2016-06-03: 细节向实习白帽子公开
2016-06-18: 细节向公众公开

简要描述:

技术本身没有对错

详细说明:

无意中发现某员工弱口令 dingyanhong/123@Ahong

漏洞证明:

第一、登陆邮箱及其他平台

2.png


1.png


QQ截图20160421211259.png


第二、发现敏感信息
最新漏洞列表:

1111.png


第三、发现邪恶信息
前方发现邪恶信息!!!
前方发现邪恶信息!!!
前方发现邪恶信息!!!
看到个移动技术规划,然后我就发现了一些邪恶的信息,我不说了,你们懂

b2.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-05-04 14:39

厂商回复:

首先,感谢白帽子对于问题的反馈,但对于翻看员工企业邮箱内部邮件的行为,我们认为超越白帽行为,保留追究动机的权利。对于指出的“所谓技术规划”,经确认,仅属于2014年新入职员工所做的技术分享发散讨论环节,产品从未涉实际功能开发。百度内部对于此类行为从策略层面严令禁止,当前及以后都不会允许此类功能的出现,同时也欢迎大家监督排查。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-05-03 22:13 | 奶嘴 ( 普通白帽子 | Rank:408 漏洞数:107 | 17岁的毛孩有些厂商故意加你好友,和你聊...)

    前排

  2. 2016-05-03 22:13 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1504 漏洞数:156 )

    卧槽,原来是这么植入的。。。

  3. 2016-05-03 22:17 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业!)

    卧槽,原来是这么植入的。。。

  4. 2016-05-03 22:18 | 弥生 ( 路人 | Rank:27 漏洞数:5 | w)

    卧槽,原来是这么植入的。。。

  5. 2016-05-03 22:22 | Fnut ( 普通白帽子 | Rank:112 漏洞数:28 | 大王叫我来巡山,巡完南山巡北山)

    ...

  6. 2016-05-03 22:26 | Aasron ( 普通白帽子 | Rank:881 漏洞数:162 | raw_input("你知道我要输入什么?"))

    卧槽,原来是这么植入的。。。

  7. 2016-05-03 22:26 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    看百度怎么说

  8. 2016-05-03 22:28 | 几何黑店 ( 核心白帽子 | Rank:2015 漏洞数:318 | 我要低调点儿.......)

    卧槽,原来是这么植入的。。。

  9. 2016-05-03 22:38 | pluore ( 路人 | Rank:18 漏洞数:7 | 鱼那么喜欢水,水却煮了鱼,叶那么喜欢风,...)

    百度就一无良厂商

  10. 2016-05-03 22:49 | Coody 认证白帽子 ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产;如遇冒名顶替接单收徒、绝...)

    标题被改了嘛?

  11. 2016-05-03 22:53 | von ( 路人 | Rank:18 漏洞数:8 | 一个帅字贯穿了我的一生~)

    刷新了一下再看,标题就变了

  12. 2016-05-03 23:22 | 我在不想理你 ( 普通白帽子 | Rank:186 漏洞数:56 | 人生路漫漫)

    @随风的风 我擦

  13. 2016-05-03 23:46 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    早知道百度有一大部分的收入来自医疗推广

  14. 2016-05-04 09:43 | 小葵 ( 实习白帽子 | Rank:84 漏洞数:11 | 我们是害虫,我们是害虫!)

    拒绝百度。

  15. 2016-05-04 09:57 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    百度还规划未来~~~哈哈,笑死楼下的大师傅了!

  16. 2016-05-04 09:58 | secart ( 实习白帽子 | Rank:40 漏洞数:8 | 这个人很懒,什么都没留。)

    技术本身没有对错

  17. 2016-05-04 10:15 | 习总夸我好青年 ( 路人 | Rank:2 漏洞数:1 | 刚来的,请多关照)

    卧槽,原来是这么植入的。。。

  18. 2016-05-04 10:19 | hear7v ( 普通白帽子 | Rank:175 漏洞数:26 | 求组织收留啊)

    这员工糟了

  19. 2016-05-04 10:30 | prolog ( 普通白帽子 | Rank:926 漏洞数:194 )

    临时工已被开除。。

  20. 2016-05-04 10:56 | M87XY ( 路人 | Rank:10 漏洞数:5 | Hello world)

    能力越大,责任就越大;白帽子们应该有一个新的角色,去发现互联网中那另人颤栗的黑暗.......

  21. 2016-05-04 11:04 | 梧桐树下 ( 普通白帽子 | Rank:2464 漏洞数:385 | 一大波洞正在过来……)

    逗!

  22. 2016-05-04 11:15 | 无人知晓 ( 实习白帽子 | Rank:64 漏洞数:8 | 一个苦逼的程序猿)

    这标题怎么又改了一遍。。。

  23. 2016-05-04 11:21 | black hook ( 实习白帽子 | Rank:32 漏洞数:9 | 新人、)

    相似漏洞么

  24. 2016-05-04 11:22 | black hook ( 实习白帽子 | Rank:32 漏洞数:9 | 新人、)

    @black hook 百度摊子大容易被黑

  25. 2016-05-04 14:27 | Jovi ( 路人 | Rank:4 漏洞数:1 )

    改标题了

  26. 2016-05-04 14:44 | 咕噜流氓兔 ( 路人 | Rank:0 漏洞数:1 | 专业段子手~~~!)

    百度说话真硬。呵呵

  27. 2016-05-04 14:48 | prolog ( 普通白帽子 | Rank:926 漏洞数:194 )

    对于翻看员工企业邮箱内部邮件的行为,我们认为超越白帽行为,保留追究动机的权利。

  28. 2016-05-04 15:10 | Martial ( 普通白帽子 | Rank:2639 漏洞数:370 | 竟然还有人冒充我,醉了,骗子QQ445697541...)

    趁着百度还没有倒闭 大家多挖点

  29. 2016-05-04 15:11 | DNS ( 普通白帽子 | Rank:803 漏洞数:85 | root@qisec.com)

    你们好可怕

  30. 2016-05-04 15:44 | 风情万种 ( 普通白帽子 | Rank:195 漏洞数:66 | 不再相信爱了)

    乌云 这么胆小么 怕百度啊 不敢曝光

  31. 2016-05-04 16:26 | Zvall ( 路人 | Rank:25 漏洞数:14 | hello world)

    乌云 这么胆小么 怕百度啊 不敢曝光

  32. 2016-05-04 17:04 | 武器大师 ( 实习白帽子 | Rank:34 漏洞数:10 | 最强的武器是什么?)

    热闹没有凑上 大家看到的人说说标题是怎么个改了法啊

  33. 2016-05-04 17:05 | mango ( 核心白帽子 | Rank:2145 漏洞数:312 | 解决问题的第一步,是要承认问题的存在。)

    对于翻看员工企业邮箱内部邮件的行为,我们认为超越白帽行为,保留追究动机的权利。

  34. 2016-05-04 17:11 | 田老板 ( 路人 | Rank:30 漏洞数:13 | 学校杀手)

    但对于翻看员工企业邮箱内部邮件的行为,我们认为超越白帽行为,保留追究动机的权利。

  35. 2016-05-04 17:26 | 猴爸爸 ( 路人 | Rank:8 漏洞数:5 | 做一只安静的猴)

    @Zvall 脸熟

  36. 2016-05-04 18:02 | wps2015 ( 普通白帽子 | Rank:634 漏洞数:85 | 不叫一日荒废)

    我想看详情,别打码

  37. 2016-05-05 09:23 | 习总夸我好青年 ( 路人 | Rank:2 漏洞数:1 | 刚来的,请多关照)

    百度不要脸!!

  38. 2016-05-05 11:38 | 这只猪 ( 路人 | Rank:24 漏洞数:6 | )(2009年荣获CCAV首届挖洞大使称号)(★★★...)

    原来标题好像有一个名词叫做 植入监视 吧???草,谁有截图给我发下

  39. 2016-05-05 11:39 | 武器大师 ( 实习白帽子 | Rank:34 漏洞数:10 | 最强的武器是什么?)

    @这只猪 求分享

  40. 2016-05-05 11:49 | DNS ( 普通白帽子 | Rank:803 漏洞数:85 | root@qisec.com)

    @这只猪 打电话哪个东西-前门-植-入-规划(估计要被和谐)

  41. 2016-05-05 11:52 | 武器大师 ( 实习白帽子 | Rank:34 漏洞数:10 | 最强的武器是什么?)

    好像懂了 泄露的文档里面(暂不讨论是不是百度计划的还是员工个人发散) 反正是计划植入监控咯

  42. 2016-05-05 12:02 | 白开水 ( 普通白帽子 | Rank:273 漏洞数:34 | 苍茫的天涯是我的爱~)

    首先,感谢白帽子对于问题的反馈,但对于翻看员工企业邮箱内部邮件的行为,我们认为超越白帽行为,保留追究动机的权利。

  43. 2016-05-05 14:36 | 银冥币 ( 实习白帽子 | Rank:65 漏洞数:25 | test" src="/upload/avatar/avatar_251_b.j...)

    评论里发原标题的怎么都被删评论了?interesting

  44. 2016-05-05 15:20 | lonely heart ( 路人 | Rank:22 漏洞数:7 | 守正出奇)

    谁能审核下我提交的漏洞啊

  45. 2016-05-08 10:42 | 泛海扬帆 ( 实习白帽子 | Rank:99 漏洞数:27 | 广告位招商 Tel:136xxxxxxxx)

    我除了买假药,一般不上白肚..

  46. 2016-05-08 23:45 | little_bird ( 路人 | Rank:1 漏洞数:1 | 低调求发展)

    wooyun也没有言论自由了,毕竟小方也是百度出来的..

  47. 2016-05-09 02:12 | 泛海扬帆 ( 实习白帽子 | Rank:99 漏洞数:27 | 广告位招商 Tel:136xxxxxxxx)

    话说某天晚上乌云无法访问,百度云提示被百度云加速拦截,理由是该网站存在,,,本来想告诉管理员的,但是貌似他们都知道了

  48. 2016-05-11 11:21 | 这只猪 ( 路人 | Rank:24 漏洞数:6 | )(2009年荣获CCAV首届挖洞大使称号)(★★★...)

    呵呵哒,这条消息不知道有木有被 360 腾讯 等 截获,要是截获了,就有好戏看了

  49. 2016-05-24 14:45 | DNS ( 普通白帽子 | Rank:803 漏洞数:85 | root@qisec.com)

    打码太专业了

  50. 2016-06-18 14:50 | 心云 ( 普通白帽子 | Rank:452 漏洞数:114 | 有追求,才会有提高!尽快达到下一个目标!)

    在哪找的百度员工邮箱密码