漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-03-13: 细节已通知厂商并且等待厂商处理中
2015-03-16: 厂商已经确认,细节仅向厂商公开
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-27: 细节向公众公开
简要描述:
最近精神比较紧张,压力好大。
每天早上起床或者看微博,到处都是看某央企董事长说月薪基本工资才7000,8000什么的。
想想都觉得醉了…. 虽然工资比我只是多了两三倍,但是心情不美丽呀。
之前看新闻说央企高管光可见的年薪动不动就是上百万,央企职工平均薪资动不动就好几十万,想想自己十年还没人家一个年多呀。
难怪,老提工头说,这就是命,咱的认命啊。
时间不多了,趁着好不容易走了四离地找的网吧,上着5块钱一小时的网,吃着4块钱一桶的泡面,得赶紧把这个漏洞写完了。。我就不墨迹了,踩着大牛们的肩膀,提交个遗漏的……
本次会公布下某央企职员的工资哦,看完你们所谓的月补贴,我哭了… 那可是好…..个月工资呀…..
平均工资都能在我们村里,都可以娶几个媳妇了…………..
央企高管工资不过万 媒体:不妨说全工资单…..
http://v.ifeng.com/news/mainland/201503/01be0c92-0bc1-43cb-8d90-18739ceff946.shtml
尼玛,普通职员都好……万…. 不信吗?不信等公开呀。。有图有真相….. 据说还可以在线调整工资呢…..不信吗? 不信等公开啊..
对了,你们还招人么。。。我会各种打杂……
详细说明:
刚打开看到中粮集团的厂商列表,看到漏洞们都被忽略掉了…
搜索打开一个也没,发现有个漏洞还木有修复,那就是弱口令…
中粮集团人力资源系统
http://ehr.cofco.com/
账号和密码 test 这个漏洞好久好久前都公开了呀,没修复,不知道你们是怎么想的啊。
WooYun: 看我如何拿下中粮集团大部分系统的
确实打开这个地址,标题写的确实是中粮集团人力资源系统。
尝试着 用账号test 密码:test 登陆后。
居然成功了。
发现确实这个系统的功能挺多的。。
日期我就打码了。。
看到有绩效管理,薪酬管理。…
果断打开。。点击薪酬管理… 看这个系统有在线加薪,调薪的功能。。。
太强大了。。。
还可以调奖金….
看得我都醉了。。
相关保险福利都可以管理,更改参数。。。
打开薪酬管理,我看到了领导们的工资。。
吓死我了,基本工资800000.。。。。
奖金也好几十万。
我数学没算错的话,应该是一百多万。。。。。
吓死我了。。
都是好几十万一年。
领导都是过百万。
漏洞证明:
2015年2月份的工资。。。 基本工资….4万多。。。还有各种福利….
还有各种护照管理等等功能。。。
接下看到了领导的历年来的工资标准。。。。
差距啊。。。
修复方案:
提高全员安全意识。。。。
版权声明:转载请注明来源 路人甲@乌云
>
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-03-16 09:45
厂商回复:
正在整改中,感谢
最新状态:
暂无