HanDs
管理员

[7月漏洞公开] 申通快递某系统存在任意用户密码修改漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

申通快递某系统存在任意用户密码修改漏洞

详细说明:

申通快递某系统存在任意用户密码修改漏洞

地址:http://182.92.82.171:8088/seeyon/index.jsp



漏洞接口地址:

http://182.92.82.171:8088/seeyon/services/authorityService?wsdl

使用用户名和密码进行身份验证

获得token值

如下图

1.jpg



测试得到用户wangrui

利用接口和token 值,对于其密码重置

http://182.92.82.171:8088/seeyon/services/personService?wsdl

如下图

2.jpg



重置之后登录系统

3.jpg





通讯录信息

4.jpg



这么多人可以任意重置密码哈



漏洞证明:

申通快递某系统存在任意用户密码修改漏洞

地址:http://182.92.82.171:8088/seeyon/index.jsp



漏洞接口地址:

http://182.92.82.171:8088/seeyon/services/authorityService?wsdl

使用用户名和密码进行身份验证

获得token值

如下图

1.jpg



测试得到用户wangrui

利用接口和token 值,对于其密码重置

http://182.92.82.171:8088/seeyon/services/personService?wsdl

如下图

2.jpg



重置之后登录系统

3.jpg





通讯录信息

4.jpg



这么多人可以任意重置密码哈

修复方案:

升级,打补丁


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
申通 快递 系统 存在 任意 用户 密码 修改 漏洞
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组
快速回复