[公开漏洞]小细节泄露管理员邮箱可利用社工重置密码(以Metinfo为案例)

来源：WooYun　浏览：706次　时间：2014-06-30

小细节泄露管理员邮箱可利用社工重置密码(以Metinfo为案例) 相关厂商： Metinfo企业网站管理系统漏洞作者：MeirLin 提交时间：2014-04-01 11:07 公开时间：2014-06-30 11:07 漏洞类型：敏感信息泄露危害等级：低自评Rank：5 漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理漏洞来源：http://www.wooyun.org Tags标签：信息泄露猜管理员帐号漏洞详情披露状态：

2014-04-01：细节已通知厂商并且等待厂商处理中
2014-04-05：厂商已经确认，细节仅向厂商公开
2014-04-08：细节向第三方安全合作伙伴开放
2014-04-15：细节向核心白帽子及相关领域专家公开
2014-04-25：细节向普通白帽子公开
2014-05-15：细节向实习白帽子公开
2014-06-30：细节向公众公开

简要描述：

它不应该出现的地方出现了 ...

详细说明：

　　问题出现在忘记密码功能处，MetInfo程序猿犯了一个小错误。只要知道管理员帐号便可获得管理员邮箱，而一般网站管理员都为admin，命中率几乎99% .. 并且致命得是可通过后台登录报错方式来猜解管理员帐号 ..

具体方法如下

1# 输入一个不存在的管理员帐号会提示