首页 > 安全 > 企业安全 >

茅台一个小漏洞引发了主站用户密码泄露等后果

2016-02-20

老实说,业务线核心处不给20有点过分了 漏洞引发了主站用户密码泄露、任意密码找回、订单用户信息(姓名、联系方式、地址 )、茅台内部通讯录、销售报表等等泄露等后果,落在坏人手上的话危害

老实说,业务线核心处不给20有点过分了

漏洞引发了主站用户密码泄露、任意密码找回、订单用户信息(姓名、联系方式、地址..)、茅台内部通讯录、销售报表等等泄露等后果,落在坏人手上的话危害更大这就不列举了

起点总是细微的,起因是看了一下11月的精品,茅台的测试环境后台弱口令

QQ截图20160105104323.png



http://shop.cdev.emaotai.cn/

此处发现了一个腾讯企业邮的设置,这smtp服务器感觉和主站是通的,登录上去看一下

QQ截图20160105105027.png



明显是主站的smtp服务器所在了,各种重要账号和报表

QQ截图20160105110355.png


QQ截图20160105110405.png



内部信件中包含了后台、内部后台、京东的账号密码配置,各种订单管理、用户管理

QQ截图20160105110621.png



然后这个主站的smtp服务器,所有注册用户都是由它来发送邮件,包括账号密码,测试可以直接登录主站

QQ截图20160105110813.png


QQ截图20160105110836.png


QQ截图20160105111626.png



登录的时候发现。。。是不是找回密码的验证码也是通过这个呢

答案是肯定的。。。这就造成了任意用户登录的后果。。。

QQ截图20160105111017.png


QQ截图20160105103516.png



所有用户的账号密码、订单状态、订单详情等都是从这个邮件服务器输出的

这个服务处在整个业务线最核心的部位,要该好好保护啊

QQ截图20160105105027.png


QQ截图20160105110621.png

解决方案:

执行以下严格的账户体系控制就好。

相关文章
最新文章
热点推荐