记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

某省网上营业厅活动可批量弱口令枚举手机号,泄漏帐号信息

2014-07-07 16:10

江苏网上营业厅活动地址:

http://service.js.10086.cn/act_js/activity_web/1255/index.html#home







登陆没有任何显示验证

78.jpg





枚举手机号码





5.jpg





得到手机号,密码,然后登录,

QQ截图20140523115347.jpg





我用火狐浏览器插件重新 post提交

1.jpg



2.jpg





可以看到返回结果



66.jpg





有 姓名 身份证号码 手机号注册时间 等等

这些信息登录营业厅,估计危害是有的











漏洞证明:

枚举手机号码





5.jpg





得到手机号,密码,然后登录,

QQ截图20140523115347.jpg





我用火狐浏览器插件重新 post提交

1.jpg



2.jpg





可以看到返回结果



66.jpg



有 姓名 身份证号码 手机号注册时间 等等

这些信息登录营业厅,估计危害是有的



涉及地区

黑龙江 伊春 大庆 鸡西 哈尔滨 双鸭山 绥化 齐齐哈尔

重庆 重庆

河北 石家庄

陕西 西安 咸阳 宝鸡 渭南 铜川 延安 榆林 汉中 安康 商洛

福建 福州 厦门 泉州 宁德 莆田 漳州 龙岩 三明 南平

贵州 贵阳 遵义

浙江 杭州 宁波 温州 绍兴 嘉兴

湖南 长沙 岳阳 湘潭 株洲 衡阳 郴州 常德 益阳 娄底 邵阳 自治州(吉首) 张家界 怀化 永州

北京 北京

山西 太原 大同 阳泉 长治 晋城 朔州 忻州 晋中 吕梁 临汾 运城

吉林 长春 吉林 延边 四平 通化 白城 辽源 松原 白山

安徽 合肥 芜湖 六安 淮北 宿州 蚌埠 滁州 安庆 池州 阜阳 亳州 淮南 马鞍山 铜陵 宣城 黄山

内蒙古 鄂尔多斯 呼伦贝尔 兴安盟 锡林郭勒 乌兰察布 乌海

广东 广州 深圳

上海 上海

四川 成都

湖北 鄂州 恩施 黄冈 黄石 江汉 荆门 荆州 十堰 随州 武汉 咸宁 襄樊 孝感 宜昌 潜江 天门

江西 南昌 九江 上饶 抚州 宜春 吉安 赣州 萍乡 景德镇 新余 鹰潭

河南 郑州 洛阳

江苏 南京 苏州 无锡

天津 天津

辽宁 沈阳 大连 鞍山 抚顺 本溪 丹东 锦州 营口 阜新 辽阳 朝阳 铁岭 盘锦 葫芦岛

云南 昆明 楚雄 景洪 昭通 大理 曲靖 保山 文山 普洱 临沧 怒江 丽江 红河 玉溪 德宏

修复方案:

最好限制下 你们会有更好的办法的


知识来源: www.wooyun.org/bugs/wooyun-2014-061979

阅读:144294 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某省网上营业厅活动可批量弱口令枚举手机号,泄漏帐号信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云