数据安全之9某国家机构系统漏洞#千万数据可造假

漏洞概要

缺陷编号:WooYun-2015-0128258

漏洞标题:数据安全之9某国家机构系统漏洞#千万数据可造假

相关厂商:cncert国家互联网应急中心

漏洞作者:路人甲

提交时间:2015-07-24 07:29

公开时间:2015-09-09 22:02

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-24: 细节已通知厂商并且等待厂商处理中
2015-07-26: 厂商已经确认,细节仅向厂商公开
2015-08-05: 细节向核心白帽子及相关领域专家公开
2015-08-15: 细节向普通白帽子公开
2015-08-25: 细节向实习白帽子公开
2015-09-09: 细节向公众公开

简要描述:

...

详细说明:

先说说厂商吧...http://**.**.**.**/ 中国物品编码中心中国物品编码中心是统一组织、协调、管理我国商品条码、物品编码与自动识别技术的专门机构,隶属于国家质量监督检验检疫总局,1988年成立,1991年4月代表我国加入国际物品编码协会(GS1),负责推广国际通用的、开放的、跨行业的全球统一编码标识系统和供应链管理标准,向社会提供公共服务平台和标准化解决方案。中国物品编码中心在全国设有47个分支机构,形成了覆盖全国的集编码管理、技术研发、标准制定、应用推广以及技术服务为一体的工作体系。物品编码与自动识别技术已广泛应用于零售、制造、物流、电子商务、移动商务、电子政务、医疗卫生、产品质量追溯、图书音像等国民经济和社会发展的诸多领域。记得优化标题1. 物品编码后台数据管理系统使用weblogic 存在弱口令**.**.**.**:7001

验证厂商:**.**.**.**:7001/bds

2. shell:**.**.**.**:7001/jmxroot/jmxroot.jsp 360butian

3.数据源信息:数据库密码就不给了

4. 取分析数据:3700W条商品数据....可随意修改其属性和条码 可迷惑公众查询达到造假

52W 个人信息

再来3700W商品信息

安全检测,点到为止 未深入挖掘数据虽然说群众的眼睛是雪亮的...但有时候大数据也不靠谱

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-2622:01

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站管理主办方公开联系渠道向其邮件通报。

最新状态:

暂无

评价