华润化工控股有限公司某处弱口令+注入(所有员工信息+内部资料)

漏洞概要

缺陷编号:WooYun-2015-0129309

漏洞标题:华润化工控股有限公司某处弱口令+注入(所有员工信息+内部资料)

相关厂商:华润化工控股有限公司

漏洞作者:路人甲

提交时间:2015-07-25 19:35

公开时间:2015-09-10 18:34

漏洞类型:后台弱口令

危害等级:高

自评Rank:16

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-25: 细节已通知厂商并且等待厂商处理中
2015-07-27: 厂商已经确认,细节仅向厂商公开
2015-08-06: 细节向核心白帽子及相关领域专家公开
2015-08-16: 细节向普通白帽子公开
2015-08-26: 细节向实习白帽子公开
2015-09-10: 细节向公众公开

简要描述:

弱口令

详细说明:

然后跑出来一枚弱口令!第一。弱口令

内部资料

oa里面有很多,就是证明一下。第二:注射

可以注入,所有员工信息想必也在吧!就不注入了。登录上之后,发现这样一个链接!

我们跑一下burp汉字是乱码,我就跑一下手机号吧!id前999位

全是你们员工手机号,你懂的哈

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-2718:32

厂商回复:

虽然手段不太好,但是效果好,感谢提交,PS:rank低是因为内容包含太多敏感数据,而且没有打码,谢谢

最新状态:

暂无

评价