韵达快递弱口令一堆导致敏感信息泄漏

漏洞概要

缺陷编号:WooYun-2015-0125323

漏洞标题:韵达快递弱口令一堆导致敏感信息泄漏

相关厂商:韵达快递

漏洞作者:路人甲

提交时间:2015-07-08 11:06

公开时间:2015-08-22 12:38

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-08: 细节已通知厂商并且等待厂商处理中
2015-07-08: 厂商已经确认,细节仅向厂商公开
2015-07-18: 细节向核心白帽子及相关领域专家公开
2015-07-28: 细节向普通白帽子公开
2015-08-07: 细节向实习白帽子公开
2015-08-22: 细节向公众公开

简要描述:

再来一次

详细说明:

漏洞url:https://mail.yundasys.com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmail.yundasys.com%2fowa%2f以top 100 pass做为用户名以top 500 user做为密码

导出成功的如下:

登录时候,[email protected]

漏洞证明:

没能导出这个邮件列表,估计导出来爆破下也会一堆000000

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-0812:37

厂商回复:

感谢指出,我们将及时修复

最新状态:

暂无

评价

  1. 2010-01-01 00:00 harbour_bin 白帽子 | Rank:463 漏洞数:36)

    你走的是小厂商流程吗?还是说被刷成小厂商了?

  2. 2010-01-01 00:00 伟哥 白帽子 | Rank:61 漏洞数:6)

    求top 字典