域名商安全之东方网景项目管理平台和邮箱系统存在高危设计缺陷(百度360的漏洞扫描账户\多个网站后台管理权限\服务器权限\ftp账户密码)

漏洞概要

缺陷编号:WooYun-2015-0146042

漏洞标题:域名商安全之东方网景项目管理平台和邮箱系统存在高危设计缺陷(百度360的漏洞扫描账户\多个网站后台管理权限\服务器权限\ftp账户密码)

相关厂商:东方网景

漏洞作者:HackBraid

提交时间:2015-10-11 21:47

公开时间:2015-11-30 14:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-10-11: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向核心白帽子及相关领域专家公开
2015-11-05: 细节向普通白帽子公开
2015-11-15: 细节向实习白帽子公开
2015-11-30: 细节向公众公开

简要描述:

RT

详细说明:

漏洞起源于http://**.**.**.**/bugs/wooyun-2010-0139696看到对实习白帽子公开了,然后那个设计缺陷竟然没补,批漏下危害01# 邮箱设计缺陷可爆破新增:

已报未修改:

03# 网景项目管理平台设计缺陷可爆破http://bjeos.tj.**.**.**.** 密码123456,92个员工爆出26个账户,做技术的集体躺枪啊

02# 百度360的漏洞扫描账户

03# 服务器和ftp权限邮箱泄漏很多服务器和ftp权限信息国家安全局的服务器账户密码(实际上是国家安全生产监督管理总局)

北京理工大学:

正大制药集团(http://**.**.**.**):

全国房地产估价平台(**.**.**.**):

**.**.**.**:

**.**.**.**:

**.**.**.**:

04# 网站后台邮箱泄漏很多网站后台

http://**.**.**.**/manage/login.asp admin hualian 华联饭店集团总部

http://**.**.**.**/admin/admin.php admin 12345

http://yoollo.tj.**.**.**.**/manage.html admin admin888

http://ihomef.tj.**.**.**.**/manager.html?action=login admin admin888

漏洞证明:

抓紧修补吧

修复方案:

抓紧修补吧

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-1614:21

厂商回复:

CNVD确认所述情况,已由CNVD通过网站管理方以往的处置渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Mieless 白帽子 | Rank:0 漏洞数:0)

    天冷了保暖

  2. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    首页都被你撑坏了

  3. 2010-01-01 00:00 随风的风 白帽子 | Rank:9 漏洞数:4)

    首页都被你撑坏了

  4. 2010-01-01 00:00 qhwlpg 白帽子 | Rank:141 漏洞数:13)

    首页都被你撑坏了

  5. 2010-01-01 00:00 大物期末不能挂 白帽子 | Rank:128 漏洞数:13)

    首页都被你撑坏了

  6. 2010-01-01 00:00 慢慢 白帽子 | Rank:61 漏洞数:4)

    首页都被你撑坏了

  7. 2010-01-01 00:00 HackBraid 白帽子 | Rank:1006 漏洞数:95)

    首页都被你撑坏了

  8. 2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)

    首页都被你撑坏了

  9. 2010-01-01 00:00 岛云首席鉴黄师 白帽子 | Rank:150 漏洞数:12)

    首页都被你撑坏了

  10. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    WooYun: 视频网站安全之优酷土豆账户体系控制不严引发内网漫游(涉及后台\云平台主站\内部商城全部源码\100台服务器权限和数据库信息等) 看括号和反斜杠,这明显是同一个人

  11. 2010-01-01 00:00 Ysql404 白帽子 | Rank:199 漏洞数:20)

    首页都被你撑坏了

  12. 2010-01-01 00:00 岛云首席鉴黄师 白帽子 | Rank:150 漏洞数:12)

    @猪猪侠 猪猪侠之乌云路人甲社工篇

  13. 2010-01-01 00:00 HackBraid 白帽子 | Rank:1006 漏洞数:95)

    @猪猪侠 囧,被识破了

  14. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @HackBraid 是你吗?我感觉也像,哈哈

  15. 2010-01-01 00:00 HackBraid 白帽子 | Rank:1006 漏洞数:95)

    @默之 下次考虑将括号内容放到简要说明,括号只写危害最大的

  16. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    页面都变形了

  17. 2010-01-01 00:00 getshell1993 白帽子 | Rank:1013 漏洞数:95)

    表哥,看你个人页我的密集恐惧症就越来越严重了。

  18. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    你这标题、、、、

  19. 2010-01-01 00:00 HackBraid 白帽子 | Rank:1006 漏洞数:95)

    @getshell1993 每次想标题都很费脑子…其实我就想早点rank

  20. 2010-01-01 00:00 1c3z 白帽子 | Rank:190 漏洞数:21)

    首页都被你撑坏了

  21. 2010-01-01 00:00 不会游泳的鱼 白帽子 | Rank:80 漏洞数:7)

    首页都被你撑坏了

  22. 2010-01-01 00:00 wooyun_def 白帽子 | Rank:23 漏洞数:2)

    卧槽,首页都变形了

  23. 2010-01-01 00:00 机器猫 白帽子 | Rank:901 漏洞数:90)

    首页都被你撑坏了

  24. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    大师 你的标题坏了

  25. 2010-01-01 00:00 onpu 白帽子 | Rank:115 漏洞数:8)

    看到标题那么长就知道是你了。首页都变形了

  26. 2010-01-01 00:00 小红猪 白帽子 | Rank:183 漏洞数:15)

    首页都被你撑坏了

  27. 2010-01-01 00:00 Ysql404 白帽子 | Rank:199 漏洞数:20)

    首页都被你撑坏了