浙江移动安全体系的一些小问题

漏洞概要

缺陷编号:WooYun-2012-05981

漏洞标题:浙江移动安全体系的一些小问题

相关厂商:浙江移动

漏洞作者:shine

提交时间:2012-04-14 12:26

公开时间:2012-05-27 12:27

漏洞类型:安全体系缺失

危害等级:高

自评Rank:11

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2012-04-14: 细节已通知厂商并且等待厂商处理中
2012-04-12: 厂商已经确认,细节仅向厂商公开
2012-04-22: 细节向核心白帽子及相关领域专家公开
2012-05-02: 细节向普通白帽子公开
2012-05-12: 细节向实习白帽子公开
2012-05-27: 细节向公众公开

简要描述:

问题太多,已经无法去说明其危害性了,只能说安全防御体系有问题(没礼物,只能换点小rank了,哈哈!)!

详细说明:

漏洞证明:

以下信息包含:文件目录遍历、弱口令、任意文件上传、访问权限控制缺失、维护管理散漫混乱、大量重要敏感信息暴露等问题,从而导致浙江移动众多核心业务应用在整个架构体系中安全问题的暴露等(问题太多,可能我发现的不够全)。

(本地搭建的该业务支撑分中心)

修复方案:

根据你们的业务体系架构

简易安全架构(包含管理制度):水平面(业务)与垂直轴(重要性)进行分层纵身面防御(被多次横切的倒锥体模型(哪位提供一个可以制作立体模型的小软件就好了(软件体积不要太大,小巧型能制作简易模型即可))),不能完全迷恋防护软件及硬件。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2012-04-12 14:35

厂商回复:

CNVD确认并复现所述情况(除部分已经作处理的站点外),一直以来对shine同学积极发现电信行业业务系统漏洞(虽然有些弱)的工作给予较高的关注度。国外也有一些安全组织或研究者利用广泛的80或常用服务端口探测手法发现安全问题,这也属于主动式应用检测的范畴。涉及电信行业在线系统较多,存在问题各不相同。想给rank 20,但为“保护”Shine同学,避免其有“刷rank”的不良口碑。参照shine谦虚谨慎的估值,rank 11。同时,将积极协调涉事单位给个礼物。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    顶 ”已经无法去说明其危害性了,只能说安全防御体系有问题”

  2. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    你对移动如此热恋,移动该送个妹纸给你。 :)力挺!!

  3. 2010-01-01 00:00 三叶草 白帽子 | Rank:14 漏洞数:5)

    这个真滴吗?对移动一向敬而远之//

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    别人刷副本,咱们刷rank

  5. 2010-01-01 00:00 Z-0ne 白帽子 | Rank:499 漏洞数:39)

    @shine 爱之深,恨之切!

  6. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    封了之后反而有礼物了,赞一个

  7. 2010-01-01 00:00 shine 白帽子 | Rank:710 漏洞数:75)

    @cncert国家互联网应急中心 哼!不怕别人评说哥“刷rank”,借帝国二号人物前不久的一句话:“知我罪我,其惟春秋!”;主要是CNCERT/CNVD小气,请勿复言!哈哈

  8. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @shine 怎么是帝国呢,是天朝

  9. 2010-01-01 00:00 shine 白帽子 | Rank:710 漏洞数:75)

    @一刀终情 根据历史统筹资料看来,个人觉得国家形态这产物的正常发展到强国的基本三要素及阶段重心;经济(强国) --> 军事(帝国) --> 人文(宗主国(即,天朝。理想环境!思想才是最厉害的玩意!)),国家发展还处初级阶段,困难较多,还需低调发展才是,祝国家繁荣昌盛!哈哈。话题敏感,不便细说!

  10. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @shine 同意,明白,wooyun不合适说这个,哈~

  11. 2010-01-01 00:00 Power 白帽子 | Rank:29 漏洞数:7)

    牛叉,刷rank.......刷刷更健康.

  12. 2010-01-01 00:00 Asuimu 白帽子 | Rank:274 漏洞数:42)

    都这样了才给11分~~~

  13. 2010-01-01 00:00 Any 白帽子 | Rank:26 漏洞数:5)

    牛叉叉 太牛了哈