漏洞概要 关注数(2) 关注此漏洞
缺陷编号: WooYun-2011-03325
漏洞标题: 北京住房公积金网手机版查询默认密码漏洞
相关厂商: 北京住房公积金网
漏洞作者: 路人甲
提交时间: 2011-11-16
公开时间: 2011-11-21
漏洞类型: 应用配置错误
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org
Tags标签: 用户敏感数据泄漏 默认配置不当 用户私人信息泄露
漏洞详情
披露状态:
2011-11-16: 细节已通知厂商并且等待厂商处理中
2011-11-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
公民信息查询使用了可预见的密码,对用户不负责任。
详细说明:
继web版被曝默认密码漏洞后,官方已采取有效措施。但手机版依然存在问题,验证时使用了可以预测的默认密码,若用户未修改默认密码,就可能被黑客任意利用,未经授权即可查询他人的工资和工作单位等隐私信息,且该登录页面无验证码,更可能被黑客穷举身份证号和默认密码,海量偷取公民隐私信息。
漏洞证明:
1.进入wap版查询地址:
http://wap.mybj.gov.cn/wap/MyServiceAction/getService.action?id=SGD089693&bigTitle=%E4%BD%8F%E6%88%BF&smallTitle=%E5%85%AC%E7%A7%AF%E9%87%91
2.验证方式选择“身份证”
3.填写身份证号
4.默认密码为身份证号后4位+00,共6位。
修复方案:
提醒个人修改默认密码,并和手机绑定
采取和web版类似的修复手段
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-11-21
厂商回复:
经抽样测试10个身份证号码,CNVD目前无法确认漏洞存在。抱歉。
漏洞Rank:6 (WooYun评价)
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
