漏洞详情

披露状态:

2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开

简要描述:

想怎么漫游就怎么漫游
回答大家的问题,我用的是burpsuit

详细说明:

https://mail.cofco.com
outlook是可以爆破的,只不过好多人弄不清楚?
最喜欢遇到outlook了

mask 区域
*****88	Cof*****
*****g Cofc*****
*****ng Co*****
*****n Cof*****
***** Cof*****
***** Cof*****
***** Cofc*****
***** Cof*****
*****ofco*****
***** Cofc*****
*****Cofco*****
*****Cofc*****
***** Cof*****
*****ofco*****
***** Cofco*****
*****ofco1*****
*****Cofco1*****
*****Cofco*****
*****co123*****
***** Cofco*****
*****Cofco*****
*****i Cof*****
***** Cofc*****
*****ng Cof*****
*****g Cofc*****
***** Cofco*****
*****n Cof*****
***** Cofc*****
***** Cofco*****
*****u Cof*****
*****g Cofc*****
***** Cofc*****
*****1 Cof*****
***** Cofco*****
***** Cofco*****
*****u Cof*****
***** Cofc*****
***** Cofc*****
***** Cofc*****
*****1 Cof*****
*****g Cof*****
***** Cofco*****
*****Cofco*****
*****Cofco*****
*****Cofco*****
*****Cofc*****
*****Cofco*****
*****Cofco*****
*****Cofco*****
*****[email protected]*****
*****[email protected]*****
*****Cofco*****
*****ofco*****
*****[email protected]*****
***** Cofc*****
*****ofco2*****
***** Cofc*****
***** Qwe*****
*****Qwer1*****
*****er12*****
***** Asdf*****
*****a1 [email protected]*****
*****g [email protected]*****
*****ing [email protected]*****
*****ng [email protected]*****
*****1 [email protected]*****
*****i [email protected]*****
*****an [email protected]*****
*****n [email protected]*****
*****ng [email protected]*****
*****a [email protected]*****
*****g [email protected]*****
*****d [email protected]*****
*****b [email protected]*****
*****i [email protected]*****
*****ng [email protected]*****
*****ng [email protected]*****
***** [email protected]*****
***** [email protected]*****
*****[email protected]*****
*****[email protected]*****
*****[email protected]*****
***** [email protected]*****
*****[email protected]*****
*****[email protected]*****
*****[email protected]*****
*****[email protected]*****
*****[email protected]*****
***** [email protected]*****
*****[email protected]*****
***** [email protected]*****
*****[email protected]*****
***** [email protected]*****
*****[email protected]*****
*****[email protected]*****
*****[email protected]*****
***** [email protected]*****
*****[email protected]*****
*****[email protected]*****
*****@ssw*****
*****@ssw*****
***** [email protected]*****
***** [email protected]*****
*****ssw0*****
***** Abc1*****
*****Abc12*****
*****bc12*****
*****Abc1*****
*****yu Ab*****
*****n Abc*****
*****08 Abc*****
*****g Abc*****
*****ng Abc*****
*****....*****


太多了,回答厂商的在别人案例中的问题:
密码虽然符合设置规则,但是,邮箱系统可以爆破
其次,上面爆破的是常见的强口令字典,同事符合人的使用习惯。
所以安全是一个整体,人员的安全教育也是必不可少,回答的如何!!!

漏洞证明:

这么多邮箱可以登录,涉及几十万到数百万封邮件,往来的密码邮件多了去了,各种滋味不言表了

1.png


然后搜一下有上面系统可以登录

2.png


单点登录的思想害了很多企业,不止你一家,这么多系统,我就看看,不做坏事
内部系统的问题肯定更多

3.png


4.png


5.png


6.png


修复方案:

问题:
1.解决爆破
2.安全教育
3.单点登录慎用

标签: none

评论已关闭