HanDs
管理员

[7月漏洞公开] 上汽某协同办公系统设计缺陷/导致内部信息和员工信息泄露 



上海汽车集团股份有限公司(简称“上汽集团”,股票代码为600104)是国内A股市场最大的汽车上市公司,总股本达到110亿股。目前,上汽集团主要业务涵盖整车(包括乘用车、商用车)、零部件(包括发动机、变速箱、动力传动、底盘、内外饰、电子电器等)的研发、生产、销售,物流、车载信息、二手车等汽车服务贸易业务,以及汽车金融业务。
上汽某协同办公系统设计缺陷,登录模块可以爆破解,导致内部信息和员工信息泄露

详细说明:

(1)上汽活动中心办公系统URL:http://mail.anyolife.com/jsoa/login.jsp

(2)查看登录功能,不存在图像验证码或短信验证

1.png



(3)抓包分析一下

2.png



(4)根据HTTP响应报文长度可以判断用户名是否有效

3.png



(5)利用Top500 Username获取有效用户名

4.png



(6)利用Top100 password破解密码

5.png



成功获取大量用户名和密码

漏洞证明:

(6)登录试试,超级管理员帐户,功能很强大哦

6.png



(7)查看当前系统的用户

7.png



(8)使用普通用户登录

8.png

修复方案:

1、增加验证码

2、避免弱口令


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
上汽
#1楼
发帖时间:2016-7-16   |   查看数:0   |   回复数:0
游客组
快速回复