### 简要描述:
默认配置不当
### 详细说明:
汇文软件 汇文应用服务系统Java版 默认配置不当,提供的下载软件包内的某文件中存储了通用的用户名密码(可直接登录),可以使用此账号密码进行钓鱼等操作,威胁诸多用户
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201502/08205403fe23a6433c574dc75e99d02b8dbd0bc9.png" alt="QQ截图20150208204400.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/08205403fe23a6433c574dc75e99d02b8dbd0bc9.png)
下载得到软件包,解压得到配置文件
[<img src="https://images.seebug.org/upload/201502/08205440b23f9f6c84d570b4d81524d843d41c33.png" alt="QQ截图20150208204626.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/08205440b23f9f6c84d570b4d81524d843d41c33.png)
打开配置文件,账号密码全泄漏,可直接登录
[<img src="https://images.seebug.org/upload/201502/08205526e9046a7843d5ef493983c34ace6cc443.png" alt="QQ截图20150208204808.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/08205526e9046a7843d5ef493983c34ace6cc443.png)
登陆成功
[<img src="https://images.seebug.org/upload/201502/08205554d88eba5fc60a4aec68f4705f1b56b0f6.png" alt="QQ截图20150208203803.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/08205554d88eba5fc60a4aec68f4705f1b56b0f6.png)
可能存在的威胁猜想:
1:由于此软件包提供公开下载,使用者服务器上的配置也使用了此配置文件,一旦此账号密码被修改,可导致使用者平台用户的密码找回等功能无法使用。
2:此账号中包含了一些使用用户的少量信息,可使用此账号向用户邮箱推送钓鱼信息导致用户被钓鱼。
暂无评论