HanDs
管理员

[7月漏洞公开] 某大型第三方支付机构账户体系控制不严导致的血案(影响企业金融信息) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

影响到超大量交易订单 工商信息 交易报告 故评高

详细说明:

首先是这个站点

code 区域
http://**.**.**.**/login



没有验证码, 弱口令爆破 爆出一个账户

code 区域
zhongfh@**.**.**.**
123456





然后登录 结果这系统太奇葩

奇葩登录成功.png



奇葩2.png



登录后啥都没有也是醉= =

只能放弃了



找到另外一个子域名

code 区域
https://zhangdan.**.**.**.**/sessions/new?service=http%3A%2F%2Fzhangdan.**.**.**.**%2F



用同样的账号登录

code 区域
zhongfh@**.**.**.**
123456





然后登录成功 主界面

主界面2.png



主界面1.png



漏洞证明:

登录成功后可以看到超大量的交易订单 工商信息 交易报告



泄露了企业的各种详细信息 甚至身份证号码 电话 姓名 银行卡号等 这要是被黑产拿到危害可大了

3600多页的交易订单

3600页交易订单.png



2100多页的工商信息

2100页工商信息.png



5100多页的关系验证记录

5100页.png



交易报告

交易报告440页.png



数据非常敏感

敏感1.png



敏感2.png



敏感3.png



工商详细.png







另外一处 同样是无验证码 弱口令爆破

code 区域
http://**.**.**.**/



burp.png



爆破成功.png



密码均为123456

code 区域
Payload								Status	Length
hr@**.**.**.** 200 234
humin@**.**.**.** 200 234
lujiani@**.**.**.** 200 234
masuxia@**.**.**.** 200 234
shizq@**.**.**.** 200 234
tongan@**.**.**.** 200 234
xieli@**.**.**.** 200 234
yuchangyan@**.**.**.** 200 234
zhangjt@**.**.**.** 200 234





成功登录订餐系统

登录成功-点餐.png

修复方案:

1、数据量超级巨大 望重视 望早点修复

2、提高员工安全意识


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组
快速回复