漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
可用最简单的办法进入吉林银行内网
相关厂商:
漏洞作者:
提交时间:
2015-10-23 14:03
修复时间:
2015-12-12 08:08
公开时间:
2015-12-12 08:08
漏洞类型:
账户体系控制不严
危害等级:
高
自评Rank:
20
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2015-10-23: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开
简要描述:
经过分析吉林银行在乌云的几个案例发现其根本无视网络安全,坚决使用弱口令和空口令,于是我想看看能做些什么,这就有了下文。声明:仅对该行进行友好检测,并无任何恶意,意在督促网络安全建设,保护公民合法权益!
详细说明:
百度搜索邮箱命名规则进行登陆尝试,是否存在弱口令,成功登陆一个用户后导出信息科技部邮箱列表进行登陆尝试,得到若干弱口令和机密文档,然后连入其VPN进而威胁内网。
为不影响某个员工,证明中未提及具体的邮箱信息。
漏洞证明:
email服务器
登陆后是这个样子
在测试的169个信息科技部人员邮箱中发现18个弱口令和默认口令问题
邮箱进行搜索获取到如下内容
然后我就登陆进入VPN了
打开内网应用
就这样吧 没有进一步探测内网
修复方案:
1.邮箱开启登陆验证码机制
2.加入多因素认证机制
3.邮箱内不要包含敏感信息
4.VPN加入多因素认证机制
5.强制检测并修改弱口令邮箱账户
版权声明:转载请注明来源 路人甲@乌云
>
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2015-10-28 08:07
厂商回复:
暂未能直接复现所述情况,商请报送者协助提供后续信息.按历史测试结果先行确认,rank 3
最新状态:
暂无