神刀安全网

漏洞标题: 中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

漏洞详情

披露状态:

2016-04-05: 细节已通知厂商并且等待厂商处理中
2016-04-05: 厂商已经确认,细节仅向厂商公开
2016-04-08: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

这个权限太高了吧

详细说明:

code 区域
http://**.**.**.**

test/123456

刚开始测试只是感觉这是一个测试邮箱,没有什么实质性内容,万万没想到这竟然是位爷!

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

http://**.**.**.**/admin/

账号test@**.**.**.**/123456

邮箱域管理员权限

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

共计5.6万余人的员工邮箱,员工姓名什么的都在这里

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

可以直接修改密码(图文不配),修改的是zaibao006/88888888

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

很多邮件都是关于保险的

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

找到了一份某机场关于保飞机的保险内容

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

漏洞证明:

漏洞标题:  中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

修复方案:

没有深入,修改密码吧,这么简单的事情

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 中华保险邮箱弱口令权限太高(邮箱域管理员身份/5万多员工邮箱信息/重置任意员工邮箱密码

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮