漏洞标题 杭州某中医院云报告系统泄露病人报告(影响X线/B超检查结果等) 相关制造商 杭州萧山中医院 漏洞作者 摊贩 提交时间 2016-04-22 16: 30 公共时间 2016-06-10 09: 40 漏洞类型 重要的敏感信息泄露 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 敏感信息泄露,默认情况下配置不当 漏洞详细信息 微信平台提供云图像报告查询功能。只需要拍摄电影的条形码号码查询相应的报告,对于数字图像,更改号码可以查询不同患者的简单性。进入图像查询平台后,连接包括系统登录。帐户和密码以及弱密码,您可以查询所有患者图像数据。 漏洞证明:
微信查询单号输入,扫描单号形成云报告,点击云报告输入
此时,复制链接,转到计算机浏览器,更改任何ID,即可查询任何人的报告
链接地址:http://**。**。**。**/reportdetail.php?iid=232893 然后单击图像以获取图像系统内容:
链接地址:**。**。**。**: 1003/externalinterface/viewexi?MODE=UL& TYPE=S& LID=1& LPW=1& AN=11833503 从链接中很容易看出用户ID和密码都是1 删除链接目录并直接转到**。**。**。**: 1003 /
这时,医院的所有电影记录和内容都一目了然。
您也可以使用此帐户密码登录。 **。**。**。**: 1013/default.aspx **。**。**。**: 1001/default.aspx 等待一系列INFINITT系统
修理计划: 更改云查询配置方案,更改密码,加密数据传输 版权声明:请注明出处。路边摊@乌云