漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-07: 厂商已经确认,细节仅向厂商公开
2015-06-17: 细节向核心白帽子及相关领域专家公开
2015-06-27: 细节向普通白帽子公开
2015-07-07: 细节向实习白帽子公开
2015-07-22: 细节向公众公开
简要描述:
周周看跑男,看好你们的手机了,香槟金或全黑那款,有送么?
友情检测过小米、酷派、OPPO等等,当前是vivo,下面可能是魅族等等
觉得敏感在下面留言喊审核人员打码!
奔跑吧,兄弟!
详细说明:
邮箱账户体系控制不严
邮箱内部往来的内容涉及财务、采购、投标、各种系统账号密码、运营数据、第三方客户沟通数据、文档等等企业运营的敏感数据,就不一一体现了
.......还有很多人的也有相似问题,测试了的密码类型就这几种,换几种会有更多,全员改密码吧
漏洞证明:
联通第三方账户登录:
合作企业登录:这系统一看就有注入点
还有其他的一些系统
http://usrsys.inner.bbk.com/login.jsp
http://theme.inner.bbk.com:10080/login.jsp
http://smsbook.bbk.com:8080/login.jsp
http://sysupgrade.bbk.com:7080/login.jsp
http://zs.vivo.com.cn/admin/login.php
......
本来想vpn撕进内网的,邮件里还真没找到,
但是用那几个领导邮箱发钓鱼邮件,应该还是很好搞定的
不影响你们正常业务了...点到为止吧
修复方案:
奔跑吧,兄弟!
有节操的白帽子....
版权声明:转载请注明来源 管管侠@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-06-07 13:16
厂商回复:
感谢关注
最新状态:
暂无