第一财经某漏洞涉及20万用户/5万订单/500名记者/200订阅码

漏洞 作者:Chloe
2015-12-16 420
漏洞标题 第一财经某漏洞涉及20万用户/5万订单/500名记者/200订阅码
相关厂商 第一财经
漏洞作者 土夫子
提交时间 2015-11-23 18:41
公开时间 2015-11-28 18:42
漏洞类型 账户体系控制不严
危害等级
自评Rank 15
漏洞状态 漏洞已经通知厂商但是厂商忽略漏洞
Tags标签 弱口令,工业控制系统,内部系统对外,管理后台对外,认证设计不合理

漏洞详情

http://admin.cbnweek.com/

第一财经周刊的大后台,权限很大很大...

账户体系控制不严,发现弱口令一枚

zhangyong/000000

20W用户

001.jpg

5W订单

002.jpg

500名记者

003.jpg

若干订阅码,有了这些订阅码,就可以不花钱看财经周刊了

004.jpg

订单详情

QQ截图20151123123416.jpg

随便导出几条

QQ截图20151123123454.jpg

影响大大滴

漏洞证明:

如上

修复方案:

你们懂得

版权声明:转载请注明来源 土夫子@乌云

Tags:

评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38566 积分: 0

关注我们

合作伙伴