漏洞标题 杭州某中医院云报告系统泄露病人报告（影响X线/B超检查结果等） 相关制造商 杭州萧山中医院 漏洞作者 摊贩 提交时间 2016-04-22 16: 30 公共时间 2016-06-10 09: 40 漏洞类型 重要的敏感信息泄露 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 敏感信息泄露，默认情况下配置不当 漏洞详细信息 微信平台提供云图像报告查询功能。只需要拍摄电影的条形码号码查询相应的报告，对于数字图像，更改号码可以查询不同患者的简单性。进入图像查询平台后，连接包括系统登录。帐户和密码以及弱密码，您可以查询所有患者图像数据。 漏洞证明： 微信查询单号输入，扫描单号形成云报告，点击云报告输入 此时，复制链接，转到计算机浏览器，更改任何ID，即可查询任何人的报告 链接地址：http://**。**。**。**/reportdetail.php？iid=232893 然后单击图像以获取图像系统内容： 链接地址：**。**。**。**: 1003/externalinterface/viewexi？MODE=UL＆amp; TYPE=S＆amp; LID=1＆amp; LPW=1＆amp; AN=11833503 从链接中很容易看出用户ID和密码都是1 删除链接目录并直接转到**。**。**。**: 1003 / 这时，医院的所有电影记录和内容都一目了然。 您也可以使用此帐户密码登录。 **。**。**。**: 1013/default.aspx **。**。**。**: 1001/default.aspx 等待一系列INFINITT系统 修理计划： 更改云查询配置方案，更改密码，加密数据传输 版权声明：请注明出处。路边摊@乌云