2014-05-23:细节已通知厂商并且等待厂商处理中
2014-05-28:厂商已经确认,细节仅向厂商公开
2014-06-07:细节向核心白帽子及相关领域专家公开
2014-06-17:细节向普通白帽子公开
2014-06-27:细节向实习白帽子公开
2014-07-07:细节向公众公开
通过枚举手机号弱口令密码,查看帐号身份证信息
详细说明:江苏网上营业厅活动地址:
http://service.js.10086.cn/act_js/activity_web/1255/index.html#home
登陆没有任何显示验证
枚举手机号码
得到手机号,密码,然后登录,
我用火狐浏览器插件重新 post提交
可以看到返回结果
有 姓名 身份证号码 手机号注册时间 等等
这些信息登录营业厅,估计危害是有的
枚举手机号码
得到手机号,密码,然后登录,
我用火狐浏览器插件重新 post提交
可以看到返回结果
有 姓名 身份证号码 手机号注册时间 等等
这些信息登录营业厅,估计危害是有的
涉及地区
黑龙江 伊春 大庆 鸡西 哈尔滨 双鸭山 绥化 齐齐哈尔
重庆 重庆
河北 石家庄
陕西 西安 咸阳 宝鸡 渭南 铜川 延安 榆林 汉中 安康 商洛
福建 福州 厦门 泉州 宁德 莆田 漳州 龙岩 三明 南平
贵州 贵阳 遵义
浙江 杭州 宁波 温州 绍兴 嘉兴
湖南 长沙 岳阳 湘潭 株洲 衡阳 郴州 常德 益阳 娄底 邵阳 自治州(吉首) 张家界 怀化 永州
北京 北京
山西 太原 大同 阳泉 长治 晋城 朔州 忻州 晋中 吕梁 临汾 运城
吉林 长春 吉林 延边 四平 通化 白城 辽源 松原 白山
安徽 合肥 芜湖 六安 淮北 宿州 蚌埠 滁州 安庆 池州 阜阳 亳州 淮南 马鞍山 铜陵 宣城 黄山
内蒙古 鄂尔多斯 呼伦贝尔 兴安盟 锡林郭勒 乌兰察布 乌海
广东 广州 深圳
上海 上海
四川 成都
湖北 鄂州 恩施 黄冈 黄石 江汉 荆门 荆州 十堰 随州 武汉 咸宁 襄樊 孝感 宜昌 潜江 天门
江西 南昌 九江 上饶 抚州 宜春 吉安 赣州 萍乡 景德镇 新余 鹰潭
河南 郑州 洛阳
江苏 南京 苏州 无锡
天津 天津
辽宁 沈阳 大连 鞍山 抚顺 本溪 丹东 锦州 营口 阜新 辽阳 朝阳 铁岭 盘锦 葫芦岛
云南 昆明 楚雄 景洪 昭通 大理 曲靖 保山 文山 普洱 临沧 怒江 丽江 红河 玉溪 德宏修复方案:
最好限制下 你们会有更好的办法的
版权声明:转载请注明来源 xnxss@乌云 漏洞回应 厂商回应:危害等级:高
漏洞Rank:10
确认时间:2014-05-28 10:10
厂商回复:CNVD确认并复现所述情况,转由CNCERT协调中国移动通信集团公司处置。
最新状态:暂无