当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138113

漏洞标题:圆通币的某网站万能密码进后台(大量交易类业务存在风险)

相关厂商:圆通币

漏洞作者: 路人甲

提交时间:2015-08-31 14:48

修复时间:2015-10-15 14:50

公开时间:2015-10-15 14:50

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我也不知道这是啥,百度了下似乎叫圆通币,反正不管,跟钱沾边就提交,免得惹得一身骚:)

详细说明:

登录界面

登录界面.png


然后就进后台了

然后就进后台了.png


可以看交易记录

可以看交易记录.png


可以抢购

可以抢购.png


我也可以帮你交易

我也可以帮你交易.png


还能操盘

还能操盘.png


管理员交易频繁啊

管理员交易频繁啊.png


1.png


好多钱的样子

好多钱的样子.png


竟然还有邮箱功能

竟然还有邮箱.png


像我这样一点坏心思都没有的黑客不多了,似乎这些邮箱号可以钓个鱼

像我这样一点坏心思都没有的黑客不多了,似乎这些邮箱号可以钓个鱼.png


可以转账哟,密码很弱的

可以转账哟,密码很弱的.png


好多用户,打开的时候浏览器都卡死了

好多用户,打开的时候浏览器都卡死了.png


站在食物链顶端的管理员

站在食物链顶端的管理员.png


啥时候我也能随随便便充个三万

啥时候我也能随随便便充个三万.png


尝试一下用别的账户登录看看:
看到这名字吓得我虎躯一震

看到这名字吓得我虎躯一震.png


感觉很多又感觉很少

感觉很多又感觉很少.png


不理解为什么比管理员的用户多

不理解为什么比管理员的用户多.png


PS:剩下的我啥也没干,别查我水表。

漏洞证明:

见详细说明

修复方案:

在登录的地方做过滤吧应该.

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)