基金安全之鹏华基金多个重要系统账户管理不严导致大量敏感信息泄露(已撕进vpn未深入)

漏洞概要

缺陷编号:WooYun-2015-0127844

漏洞标题:基金安全之鹏华基金多个重要系统账户管理不严导致大量敏感信息泄露(已撕进vpn未深入)

相关厂商:鹏华基金管理有限公司

漏洞作者:管管侠

提交时间:2015-07-20 13:45

公开时间:2015-09-03 14:00

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-03: 细节向公众公开

简要描述:

哈!!基金业安全堪忧

详细说明:

https://mail.phfund.com.cn/owa/大量账户弱口令,outlook白瞎了,居然不设置强密码规则12345678闯天下,会被爆菊的这里面往来的邮件十几万到上百万封,密码的往来邮件也不少吧,不言表了可以看我以前的案例,考虑基金业,不深入了下面的用户密码全都是12345678

其他的弱口令还没跑呢.....

漏洞证明:

oa系统:这里面的权限太大了,各种系统

不乱点了,这么多账号,权限应该不是问题vpn撕进内网:就说12345678会被爆菊的https://vpn.phfund.com.cn/dana-na/auth/url_default/welcome.cgi

下载客户端然后就...不玩了

修复方案:

@@方案:1.强化口令,outlook是有强制强化密码规则的设置的2.员工安全教育3.系统作有效的双因素验证登录(令牌或手机验证码)建议如何?

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-2013:59

厂商回复:

感谢白帽子做出的贡献,全员风险意识有待不断强化。希望与乌云及白帽子进一步合作,发现更多的系统问题,强化我司安全。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    @鹏华基金管理有限公司 真送礼物?