当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126982

漏洞标题:p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)

相关厂商:玖信贷

漏洞作者: 路人甲

提交时间:2015-07-15 18:10

修复时间:2015-08-29 18:12

公开时间:2015-08-29 18:12

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)

详细说明:

列举一下该系统的问题:
1. 业务系统对公网开放
2. 存在弱口令,且无防暴力破解机制
3. 系统存在越权漏洞,可查看使用高权账号功能

漏洞证明:

偶然间扫到个地址,发现是玖信贷业务系统后台,且没有防暴力破解机。于是对系统进行暴力破解,发现存在弱口令账号。
后台地址:http://42.96.249.25
弱口令账号:
zhanglei
zhangyu
zhangliang
应该还有更多
登录后,发现该系统属于测试阶段,但里面拥有2015.5.29号之前的所有正式数据。。。
1. 账号投资明细

图片1.png


2. 普通用户管理(根据ID判断有70000+的用户)

QQ截图20150715165022.png


3. 发现用户审核处存在查看身份证照片功能。

QQ截图20150715165540.png


点击查看,发现账号权限不足。。。于是试了试看存不存在越权,劫持请求数据包,发现COOKIE中存在rule=26参数,果断把数值该为1。

QQ截图20150715165938.png


成功查看到身份证图片。

QQ截图20150715170335.png


4 另外还可以利用越权漏洞修改账号权限,查看其它高权限功能,以及其他重要敏感信息,不贴图了。

修复方案:

安全建议:
1. 关闭重要业务系统的外网接口
2. 加强系统防暴力机制,修改弱口令账号
3. 修复越权漏洞,对用户权限进行校验
4. 应该还有其他漏洞,建议进行全面的渗透
系统数据很多,也很敏感,望企业尽快修复。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)