湖南移动未授权查看员工信息(包括密码等)

漏洞概要

缺陷编号:WooYun-2015-097822

漏洞标题:湖南移动未授权查看员工信息(包括密码等)

相关厂商:10086.cn

漏洞作者:无心、

提交时间:2015-02-22 19:44

公开时间:2015-04-06 19:46

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-02-22: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商已经确认,细节仅向厂商公开
2015-03-10: 细节向核心白帽子及相关领域专家公开
2015-03-20: 细节向普通白帽子公开
2015-03-30: 细节向实习白帽子公开
2015-04-06: 细节向公众公开

简要描述:

目录直接看不了。。。

详细说明:

[TXT] 01.txt 21- -2014 12:29 681[TXT] 02.txt 21- -2014 12:30 236K[TXT] 04.txt 21- -2014 12:30 1.2M[TXT] 06.txt 21- -2014 12:31 1.0M[TXT] 07娄底.txt 21- -2014 12:36 17K[TXT] 07永州.txt 21- -2014 12:41 4.6M[TXT] 07益阳.txt 21- -2014 12:36 1.0M[TXT] 07衡阳.txt 21- -2014 12:35 12M[TXT] 07邵阳.txt 21- -2014 12:39 13M[TXT] 07郴州.txt 21- -2014 12:35 363[TXT] 07长沙.txt 21- -2014 12:33 792K[TXT] 08娄底.txt 21- -2014 16:57 9.7K[TXT] 08永州.txt 21- -2014 16:59 2.8M[TXT] 08益阳.txt 21- -2014 16:56 616K[TXT] 08衡阳.txt 21- -2014 16:55 7.6M[TXT] 08邵阳.txt 21- -2014 16:59 8.4M[TXT] 08郴州.txt 21- -2014 16:56 223[TXT] 08长沙.txt 21- -2014 16:53 578K[TXT] 10.txt 21- -2014 13:01 1.2M[TXT] 11.txt 21- -2014 13:02 914K[TXT] 12.txt 21- -2014 13:02 1.2M[TXT] 13.txt 21- -2014 13:03 5.4K[TXT] 14永州.txt 21- -2014 13:06 2.1M[TXT] 14衡阳.txt 21- -2014 13:04 117K[TXT] 14邵阳.txt 21- -2014 13:05 3.6K[TXT] 15.txt 21- -2014 13:06 20K[TXT] 16.txt 21- -2014 13:06 22K[TXT] 17衡阳.txt 21- -2014 13:07 294[TXT] 18衡阳.txt 21- -2014 13:08 148[TXT] 19.txt 21- -2014 13:09 1.8M[TXT] 20.txt 21- -2014 13:09 443[TXT] 21.txt 21- -2014 13:10 411[TXT] 22.txt 21- -2014 13:10 590[TXT] 23.txt 21- -2014 13:10 53K[TXT] 24.txt 21- -2014 13:11 83K[TXT] 25.txt 21- -2014 13:11 480[TXT] 26永州.txt 21- -2014 17:04 1.7M[TXT] 26益阳.txt 21- -2014 17:02 457K[TXT] 26衡阳.txt 21- -2014 17:01 7.0M[TXT] 26邵阳.txt 21- -2014 17:03 4.3M[TXT] 26郴州.txt 21- -2014 17:01 219[TXT] 26长沙.txt 21- -2014 17:00 16K[TXT] 27永州.txt 21- -2014 13:20 1.0K[TXT] 27衡阳.txt 21- -2014 13:18 1.8K[TXT] 27邵阳.txt 21- -2014 13:19 2.5K[TXT] 27郴州.txt 21- -2014 13:19 149[TXT] 28.txt 21- -2014 13:20 4.9K[TXT] 29.txt 21- -2014 13:20 356K[TXT] 31永州.txt 21- -2014 13:23 692[TXT] 31益阳.txt 21- -2014 13:22 259[TXT] 31衡阳.txt 21- -2014 13:21 357[TXT] 33.txt 21- -2014 13:23 69K[TXT] 35.txt 21- -2014 13:24 1.9M[TXT] 36.txt 21- -2014 13:24 2.3K[TXT] 37永州.txt 21- -2014 17:22 30M[TXT] 37衡阳.txt 21- -2014 17:10 121M[TXT] 37邵阳.txt 21- -2014 17:19 91M[TXT] 38永州.txt 21- -2014 17:16 12M[TXT] 38益阳.txt 21- -2014 17:12 2.1M[TXT] 38衡阳.txt 21- -2014 17:10 24M[TXT] 38邵阳.txt 21- -2014 17:15 35M[TXT] 38长沙.txt 21- -2014 17:07 210K[TXT] 39.txt 21- -2014 13:28 1.7M[TXT] 41永州.txt 21- -2014 13:31 108K[TXT] 41益阳.txt 21- -2014 13:30 25K[TXT] 41衡阳.txt 21- -2014 13:29 1.9M[TXT] 41邵阳.txt 21- -2014 13:31 261K[TXT] 41长沙.txt 21- -2014 13:30 127K[TXT] 42.txt 21- -2014 13:32 2.6M[TXT] 45.txt 21- -2014 13:33 1.4K[TXT] 46.txt 21- -2014 13:33 25K[TXT] 47.txt 21- -2014 13:34 7.9K[TXT] 52永州.txt 21- -2014 13:38 184K[TXT] 52益阳.txt 21- -2014 13:36 50K[TXT] 52衡阳.txt 21- -2014 13:35 695K[TXT] 52邵阳.txt 21- -2014 13:37 727K[TXT] 52长沙.txt 21- -2014 13:35 452[TXT] 53.txt 21- -2014 13:39 18M[TXT] 67.txt 21- -2014 13:40 108K[TXT] 68.txt 21- -2014 13:40 2.9K[TXT] 73.txt 21- -2014 13:41 740[TXT] 80.txt 21- -2014 13:41 1.5K[TXT] 93.txt 21- -2014 13:42 29K[TXT] 98.txt 21- -2014 13:43 286K[TXT] 99.txt 21- -2014 13:43 1.4K

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-02-2817:54

厂商回复:

CNVD确认所述情况,转由CNCERT向中国移动通报。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 我能拒绝么 白帽子 | Rank:8 漏洞数:1)

    这目录你是如何猜到的

  2. 2010-01-01 00:00 大饭刚 白帽子 | Rank:33 漏洞数:3)

    对呀,你这个目录是如何猜到的

  3. 2010-01-01 00:00 黄大胖 白帽子 | Rank:0 漏洞数:0)

    这目录都猜的出来。。。

  4. 2010-01-01 00:00 我能拒绝么 白帽子 | Rank:8 漏洞数:1)

    我觉得很有可能是猜到第一阶目录后存在目录列表然后就有了下面的内容了

  5. 2010-01-01 00:00 孤独行者 白帽子 | Rank:31 漏洞数:3)

    @我能拒绝么 @黄大胖 @大饭刚 @我能拒绝么 大号被封了。。目录是直接谷歌出来的。。具体。。不告诉你们

  6. 2010-01-01 00:00 我能拒绝么 白帽子 | Rank:8 漏洞数:1)

    @孤独行者 这都能谷歌出来,醉了

  7. 2010-01-01 00:00 孤独行者 白帽子 | Rank:31 漏洞数:3)

    @我能拒绝么 gogole ‘site:dl.xxt.hn.chinamobile.com/ filetype:txt 密码’

  8. 2010-01-01 00:00 我能拒绝么 白帽子 | Rank:8 漏洞数:1)

    @孤独行者 给力,都还搜的出东西。
    给你个海康威视的 intext:"Hikvision" inurl:"login.asp"
    默认密码admin/12345
    不要看到了不该看的

  9. 2010-01-01 00:00 孤独行者 白帽子 | Rank:31 漏洞数:3)

    @我能拒绝么 乌云都有了。。。