HanDs
管理员

[7月漏洞公开] 用友账户体系控制不严导致大量内部敏感数据泄露(涉及总裁个人资料/可深入) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

泄露公司大量敏感数据 故评高

详细说明:

一日闲逛



发现一个用友的信息泄露地址:

code 区域
https://github.com/tianjlj/TJL/blob/b2019f75eae34ee4ed3512974b9a9a8b3cd1087f/Ltest/send_mail.py





轻松拿到某个内部员工的账号密码

mail泄露.png



成功登录企业内部邮箱

125封邮件.png





密码信息

mail泄露-密码.png





利用一号多用 成功登录用友云盘系统

用友云盘登录.png





大量公司敏感数据 例如92页的员工手册



员工手册.png



员工手册-92页.png



可深入 但是员工手册92页 。。。。。。。。。。。。。就不深入了= =

大量的公司内部图片信息

云盘图片.png





同样的账号密码 成功登录用友的企业空间

企业空间内部.png





总裁信息 总经理信息

企业空间-总经理.png





总裁个人信息 姓名 生日 学历等

企业空间-总经理-个人资料.png



漏洞证明:

各种公司敏感数据

1.png





2.png





信息太多 就不一一贴图了



危害有多严重你们自己很清楚哦

修复方案:

1、删除敏感数据

2、提高员工安全意识


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
用友 账户 体系 控制 导致 大量 内部 敏感 数据 泄露
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复