华润集团招聘网站系统后台可撞库(后台已进)

漏洞概要

缺陷编号:WooYun-2015-0129282

漏洞标题:华润集团招聘网站系统后台可撞库(后台已进)

相关厂商:华润集团

漏洞作者:ShAdow丶

提交时间:2015-07-27 17:11

公开时间:2015-09-10 17:12

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-07-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

233

详细说明:

由于没有验证码,以及可以检测用户的存在与否,直接爆破

用户还挺多,随便挑了个,爆破了下密码

成功进去

漏洞证明:

接着翻了翻,发现还可以给应聘者发邮件,短信。

我想作为一个去面试的人,这邮件应该很重要吧,也很能让用户信任,那用来钓鱼欺诈呢?后果可想而知~~~

修复方案:

1.管理员改个难度强的密码吧2.设个验证码吧

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

评价

  1. 2010-01-01 00:00 Mark0smith 白帽子 | Rank:20 漏洞数:2)

    还以为厂家拒绝之后会偷偷修复下。没想到并没有。。。。。