某漏洞导致文化部全国所有机构沦陷(影响全国各省市县乡)

漏洞概要

缺陷编号:WooYun-2015-097827

漏洞标题:某漏洞导致文化部全国所有机构沦陷(影响全国各省市县乡)

相关厂商:中华人民共和国文化部

漏洞作者:刘洪泽

提交时间:2015-02-22 19:41

公开时间:2015-04-06 19:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-02-22: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-06: 细节向公众公开

简要描述:

可查阅全国各省市县乡政府内部文件。
涉及全国所有省市县乡机构,画面太美
用猪猪侠的话说就是
涉及用户量多的大多数系统会根据自身的业务特性,有许多格式用于排号数据,如果人员安全意识未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。同时随着网络安全意识越来越不深入民心,将给系统带来最大的威胁。哈哈
http://www.stats.gov.cn/tjsj/tjbz/xzqhdm/201401/t20140116_501070.html
以上是影响的全国地区:(

详细说明:

问题出在这个系统

发现县区汇总登陆帐号格式是行政区划代码+HZTJ(而行政代码是公开的,也就是意味着全国所有地区都被影响!密码为默认的999999行政区划代码地址:

例如北京市行政区划110000,那么登陆账号就是110000HZTJ密码为999999其他也是如此,就以几个省为例北京市

天津市120000HZTJ

河北省130000HZTJ

内蒙古自治区150000HZTJ

号的,剩下的区市县乡就不一一证明了!以北京市为例我们看看,这系统怎么玩这个可以直接到处那么多资料,这就叫脱了吧!

电脑有点不好带不起!这仅仅是一个市,一小段时间的档案

这叫政府内部信息了吧!随意提阅导出某时间段的档案文件。浏览器太卡,便不再深入了

可上报,审核,导出,查阅,发送信息,删除等这些政府文件。大危害!浏览器问题不深入。

漏洞证明:

修复方案:

#妥善对待网络边界#避免大范围有规律的排号#严格限制

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-0208:32

厂商回复:

最新状态:

暂无

评价

  1. 2010-01-01 00:00 小呆呆 白帽子 | Rank:33 漏洞数:4)

    好文笔

  2. 2010-01-01 00:00 咸鱼翻身 白帽子 | Rank:295 漏洞数:32)

    男佣哦Ծ‸