盛心阳光咨询公司为联想公司定制的登录系统,存在设计缺陷,可以使得联想全部员工信息泄露
(1)了解一下这个公司,是一家中美合资的心理咨询公司,客户都是大公司:百度、联想、海尔、中石油,
盛心阳光咨询公司之联想员工信息泄露漏洞
。。。
下面是收集到的关于北京盛心阳光咨询有限公司的联系方式
邮箱地址:[email protected]、[email protected]、[email protected]、[email protected]
联系电话:010-65188558 010-65180308
24小时 电话:手机拨打:400-650-6605 座机拨打:800-810-6605
(2)访问盛心阳光之联想定制主页:http://www.eapchina.net/lenovo/
(3)漏洞分析
根据提示:账号是:八位员工工号(通常前三位0,如00012345)密码:000000
遍历以000开头的八位数字,并使用000000尝试登陆,即可访问所有联想员工的个人信息了
尝试使用用户名为00012345,密码为000000登录的请求报文
从请求报文上看,没有任何问题
(4)接下来使用Burp Suite遍历所有以000开头的八位数字
漏洞证明:
(5)据此可以获取大批联想员工个人信息,下面是部分信息,其中第二列是员工工号去掉前两位为00之后的值
(7)使用其中一个登陆试试,并查询个人信息
据此,可以查看联想公司任意员工的信息了,
电脑资料
《盛心阳光咨询公司之联想员工信息泄露漏洞》(https://www.unjs.com)。。。解决方案:
1、尽量不要公开初始密码
2、尽量为不同用户设置不同的初始密码