当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2012-06865
漏洞标题:
人人网也有弱口令拉!
相关厂商:
人人网
漏洞作者:
shine
提交时间:
2012-05-09 15:29
修复时间:
2012-06-23 15:29
公开时间:
2012-06-23 15:29
漏洞类型:
后台弱口令
危害等级:
自评Rank:
10
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2012-05-09: 细节已通知厂商并且等待厂商处理中
2012-05-09: 厂商已经确认,细节仅向厂商公开
2012-05-19: 细节向核心白帽子及相关领域专家公开
2012-05-29: 细节向普通白帽子公开
2012-06-08: 细节向实习白帽子公开
2012-06-23: 细节向公众公开

简要描述:

人人网好象还没出过弱口令,开个张!

详细说明:


好象很久没维护了,Plone内容管理系统及Zope应用服务器搭配
此处弱口令:
  
http://wiki.dev.renren.com:8089/Plone
http://wiki.dev.renren.com:8089/manage



(Zope很健壮啊!)



(性能也稳定,快跑1000天了!)


漏洞证明:


敏感信息及可利用信息还是较多的,由于不了解Zope web服务器及Python语法,没多去看!
给出Plone一处利用,你们看合理不?有危害不?



这样算不算存储型XSS?



然后利用qq的小绿√ ,进行钓鱼,输入帐号选妹子!^-^


修复方案:

听说人人网的礼物是充气娃娃,很好奇,求!

版权声明:转载请注明来源 shine@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)