HanDs
NO.2

[7月漏洞公开] 风行在线某系统任意用户密码重置漏洞(管理员账号为例/涉及内部架构/文件等敏感信息) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

说是废弃系统,看着不像,关键影响内部很多信息,比如全部员工信息

详细说明:

http://oa.fun.tv/seeyon/services/personService?wsdl

http://oa.funshion.com/seeyon/services/personService?wsdl

1.png



http://oa.fun.tv/seeyon/services/authorityService?wsdl

http://oa.funshion.com/seeyon/services/authorityService?wsdl

2.png

漏洞证明:

3.png



4.png



6.png



测试了两个账号:证明问题,可以重置任意账号密码

audit-admin:test1234

zengyang:test1234

全员组织架构和内部活动、文件、运维等内部交流信息很多

每天都有人登录

修复方案:

@@


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
风行
#1楼
发帖时间:2016-7-16   |   查看数:0   |   回复数:0
游客组