记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

大麦网账户体系控制不严导致内部信息泄露

2014-09-15 14:35

大麦网的邮箱地址是

http://mail.damai.cn/

经过测试,发现大麦网邮箱用户初始密码为admin

密码找回问题和答案默认为(Binary/Image)

找回密码地址为

http://mail.damai.cn/extman/cgi/forgetpwd.cgi

先拿welcome帐号测试

dm1.png



成功重置密码为admin

dm2.png





通过简单的猜测或者是默认的密码找回问题

成功重置其它几个敏感用户密码为admin

包括



test@damai.cn

admin@damai.cn

welcome@damai.cn

weiyuanhua@damai.cn

xuexiaobing@damai.cn

漏洞证明:

部分图片证明

dm3.png



dm4.png





其中不乏各种敏感信息。

而且相信如果继续进行密码重置尝试,可以横向拓展出更多的信息。

修复方案:

培养员工良好的安全意识。

及时通知用户更改默认密码及密码问题、答案。


知识来源: www.wooyun.org/bugs/wooyun-2014-070578

阅读:89360 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“大麦网账户体系控制不严导致内部信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词