当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0217481

漏洞标题:哔哩哔哩某系统涉及员工账户信息

相关厂商:bilibili.com

漏洞作者: 路人甲

提交时间:2016-06-11 12:47

修复时间:2016-06-12 12:20

公开时间:2016-06-12 12:20

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-06-11: 细节已通知厂商并且等待厂商处理中
2016-06-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

从逛知乎到登录bilibili主站后台(可审核视频/设置推广位)(后台被搜索引擎索引/TOTP形同虚设) | WooYun-2016-208539 | WooYun.org
WooYun: 从逛知乎到登录bilibili主站后台(可审核视频/设置推广位)(后台被搜索引擎索引/TOTP形同虚设)


一看端端就是社工大牛,结合邮箱和web,杀伤力太大


漏洞证明:

从上面的漏洞,我们可以得知账号


2.jpg


1.jpg


在社工库里有个账号:


用户名/账号	邮箱	密码/密文	Salt	来源
haojie0114 haojie0114@126.com ff40306600c4871484ba18475bcd6b68:7a0445 tgbus


其中haojie0114@126.com是哔哩的员工邮箱,cmd5解密为9952shen


然后直接去登陆126邮箱看看


1.jpg


提示登陆失败,然后直接去找回密码试试


1.jpg


1.jpg


1.jpg


问题:您的家乡是?


通过百度,谷歌搜索引擎等一番查找,没找到“陆浩杰”家乡在哪,然后就去猜答案。


1.jpg


答案就是:江苏


1.jpg


可以看到,可以重置该邮箱的密码 了

1.jpg


1.jpg


密码:wooyun-test


账号:haojie0114@126.com


1.jpg


1.jpg


2.jpg


3.jpg


4.jpg


1.jpg


可以重设该手机的apple id密码了


密码Wooyun-test1


里面肯定有大量的隐私和公司内部情况啥的,就不干坏坏的事了


1.jpg


感谢您注册今目标!
您的管理员帐号已激活,
登录帐号:admin@3339536
邮箱地址:haojie0114@126.com(可作为登录帐号使用)
密码为您注册时设置的
登录链接:http://web.jingoal.com/mgt?locale=zh_CN


继续找回密码登陆


1.jpg


1.jpg


登录帐号:admin@3339536
密码:Wooyun-test1


1.jpg


是这个网站的管理员账号


考勤记录


1.jpg


1.jpg


1.jpg


1.jpg


前面还有个账号
用户名:flowerain@163.com
密码:5211314wc


1.jpg


由于该账号业务太多,很多网站的密码还是同样的弱口令,可以照常登陆,例如:csdn、YY、58、盛大在线、锤子数码、音悦网等


1.jpg


1.jpg


1.jpg


1.jpg


1.jpg


修复方案:

提供安全意识,同一个网站不要使用相同的密码
不要设置一些公开的密保问题

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-12 12:20

厂商回复:

漏洞存在但是与公司网络安全无关

最新状态:

暂无


漏洞评价:

评价

  1. 2016-06-12 12:23 | 上海哔哩哔哩动画有限公司(乌云厂商)

    请深入点测试以可以证明黑到公司资料或内网等