文章出處
向普通白帽子發起第一槍
中國中化集團公司郵箱系統對互聯網開放,由于沒有對用戶登陸錯誤做限制,也沒有添加驗證碼,導致可暴力破解并成功登錄大量員工賬戶(包括二級單位),存在用戶資料大量泄露風險。我真的不想被大壞蛋利用。
1、郵箱地址:https://m.sinochem.com/
2、破解成功大量弱口令
303表示成功賬號。
3、財務和人力
4、由于也是domino框架,所以可以利用其存在的權限控制不嚴獲取全集團的員工信息,如下圖:
頁面太多,倒數第二條地址是:
https://m.sinochem.com/names.nsf/$users?OpenView&Start=202846
可見中國中化全集團員工人數非常多。利用這么多員工賬號,可以破解大量的郵箱賬號密碼。
5、一些敏感文件
一、副經理
二、家庭成員
三、薪資信息
四、房產信息:
明白一個道理,年收入50W的才能在朝陽區買個房子,我等屌絲注定一輩子。
解決方案:
1、真的只是修改弱口令2、限制用戶登錄錯誤次數3、添加驗證碼4、Domino框架升級吧.
就愛閱讀www.92to.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20161116/56081.html
文章列表
全站熱搜
留言列表
