HanDs
NO.2

[7月漏洞公开] 中国平安站点某处验证逻辑问题可导致百万敏感信息泄漏(姓名/手机号/身份证号等)以及几十万客户经理敏感信息还管理商品价格等 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

这逻辑也是醉了

详细说明:

首先到这里看下

http://fenqi.pingan.com.cn/pafenqi/ums/umsUser!loginEdit.do



点击忘记密码

http://fenqi.pingan.com.cn/pafenqi/h5/pages/forgetPwd.jsp?mark=1



然后输入admin

发现他说没有绑定手机号

1.jpg





正常的返回包

2.jpg





我们修改返回包

3.jpg





然后再点击获取验证码



然后在修改返回包



4.jpg



5.jpg



6.jpg





成功了

登陆看看吧

7.jpg





150多万敏感信息

姓名、手机号、身份证

8.jpg





在登陆选择这个

9.jpg



10.jpg



漏洞证明:

150多万敏感信息

姓名、手机号、身份证

8.jpg

修复方案:

修改把


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
中国平安 站点 某处 验证 逻辑 问题 导致 百万 敏感 信息 泄漏
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组