当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115317

漏洞标题:佰仟金融超过4万用户详细资料泄露(身份证、银行卡复印件,亲属及个人详细信息等)

相关厂商:深圳市佰仟金融服务有限公司

漏洞作者: Looke

提交时间:2015-05-21 15:36

修复时间:2015-07-09 18:48

公开时间:2015-07-09 18:48

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-21: 细节已通知厂商并且等待厂商处理中
2015-05-25: 厂商已经确认,细节仅向厂商公开
2015-06-04: 细节向核心白帽子及相关领域专家公开
2015-06-14: 细节向普通白帽子公开
2015-06-24: 细节向实习白帽子公开
2015-07-09: 细节向公众公开

简要描述:

唐僧师徒四人一起去取经,沙僧是个细心的人,一路上照顾师徒四人的饮食起居,这天他在整理大师兄的内裤,发现有个洞,然后就耐心的缝了起来,第二天发现 又有个洞,于是又补了起来,第三天 依旧还是有个洞,正当他拿起针线时,猴哥过来,踹飞了沙僧。妈蛋,把洞缝上,我尾巴搁哪儿哪!

详细说明:

漏洞地址:http://bqxin.cn/bf/saleslogin.aspx
1、使用万能密码进行登录:账户(1' or '1'='1)密码(空),可进入后台;
2、点击查询单量(请使用Chrome浏览器),随便选择某一天的,等待大约一分钟左右,可将超过四万份用户信息都查到;
3、点击表格中第一列的客户姓名,可查看此人所有的详细信息,包括:个人家庭住址,电话,qq,工作单位,月收入,家庭成员的住址和详细信息;
4、点击其他信息下的提供申请材料,可查看此人的身份证复印件,银行卡复印件,本人正面照,如果是学生的话,可以查看其学信网证明材料;
5、通过修改查询ID,可遍历这4万人的所有信息并存储于数据库;
6、其实还有很多上传点,我们就不试了,因为网站好像记录了我们的IP。

漏洞证明:

1、使用站长攻击查看http://www.bilfinance.com/其备案信息,发现目标网址:www.bqxin.cn;

1.png


2、打开www.bqxin.cn,输入万能密码:账户(1' or '1'='1)密码(空),可进入后台;

2.png


3、可以进行查询了;

3.png


4、点击表格中第一列的客户姓名,可查看此人所有的详细信息;

4.png

5.png


5、可以查看其证件的复印件(貌似有了这些,好多坏事都能做呢);

6.png


6、修改URL,可使用脚本批量获取客户信息和证件、银行卡、个人照片等。

7.png

8.png


貌似有了这些还能进行诈骗呢。。。越想越邪恶啊

修复方案:

该漏洞十分低级,加强提交字符时的符号过滤规则。

版权声明:转载请注明来源 Looke@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-05-25 18:47

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无