漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-10-20: 细节已通知厂商并且等待厂商处理中
2014-10-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
上海市普陀区教育局某分站后台多账户弱密码
详细说明:
该站地址http://www.msxl.pte.sh.cn/
登陆地址http://www.msxl.pte.sh.cn/webschool/MySpace/
通过社工得到了该校初一年级某生QQ 询问了一下初始密码(123)以及几个老师的名字
已测试的几个账号:
乔影:123
王宏艳:123
顾俊:123
陈莉瑾:123
钱筱凤:123
``````
这里不再一一列举
通过类似@功能我获取到了所有教职工的名字
车文波,俞晓瑾,郑冲,归丽萍,王宏艳,李炯,陈莉瑾,李岚,李少峰,钱筱凤,施燕华,张政华,仲根美,周世亿,朱玉红,李玉群,吴丹,张静,朱沪疆,德语老师,张屹,袁虹,拓展,徐怡雯,周淳隽,龚炜,季华忻,蒋艳,刘伟杰,牟湘萍,饶敏,施忠菁,孙自力,杨飞灵,杨莉,周云弟,徐梅,陆偲瑜,胡美娟,胡明国,孔琦雯,李鋆,陆铸伟,罗耀荪,钱继华,邵娅蓓,沈喆,沈敏,万红艳,俞春红,袁明,翟伟,褚佩瑜,gujun,操玉姣,陈柳,顾俊,李凤,李禾,李丽,骆君,马峰英,乔影,王志友,张小燕,朱依雯,徐海栋,毕胜军,王晓燕,姚斌,陈艳,陈泓波,胡月红,黄华彬,蒋薇薇,金玉蘭,毛玲英,陶玲娟,王耀辉,张海松,郑敏,朱理洪,陈伟德,李则斌,陆剑芳,孙海英,陶晓刚,王建平,张红,管理员,LSF,瑞聪技术支持,外教,陈梅明,朱艳
有兴趣的可以去尝试
这里我就不深入了
漏洞证明:
该站地址http://www.msxl.pte.sh.cn/
登陆地址http://www.msxl.pte.sh.cn/webschool/MySpace/
通过社工得到了该校初一年级某生QQ 询问了一下初始密码(123)以及几个老师的名字
已测试的几个账号:
乔影:123
王宏艳:123
顾俊:123
陈莉瑾:123
钱筱凤:123
``````
这里不再一一列举
通过类似@功能我获取到了所有教职工的名字
车文波,俞晓瑾,郑冲,归丽萍,王宏艳,李炯,陈莉瑾,李岚,李少峰,钱筱凤,施燕华,张政华,仲根美,周世亿,朱玉红,李玉群,吴丹,张静,朱沪疆,德语老师,张屹,袁虹,拓展,徐怡雯,周淳隽,龚炜,季华忻,蒋艳,刘伟杰,牟湘萍,饶敏,施忠菁,孙自力,杨飞灵,杨莉,周云弟,徐梅,陆偲瑜,胡美娟,胡明国,孔琦雯,李鋆,陆铸伟,罗耀荪,钱继华,邵娅蓓,沈喆,沈敏,万红艳,俞春红,袁明,翟伟,褚佩瑜,gujun,操玉姣,陈柳,顾俊,李凤,李禾,李丽,骆君,马峰英,乔影,王志友,张小燕,朱依雯,徐海栋,毕胜军,王晓燕,姚斌,陈艳,陈泓波,胡月红,黄华彬,蒋薇薇,金玉蘭,毛玲英,陶玲娟,王耀辉,张海松,郑敏,朱理洪,陈伟德,李则斌,陆剑芳,孙海英,陶晓刚,王建平,张红,管理员,LSF,瑞聪技术支持,外教,陈梅明,朱艳
有兴趣的可以去尝试
这里我就不深入了
修复方案:
你们比我懂,据那个屌丝初中桑说他们的信息老师很吊
版权声明:转载请注明来源 路人甲@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-10-25 14:54
厂商回复:
最新状态:
暂无