WooYun.org

本次测试用了大概2个小时，其中高危的两个，低危不计其数主要是内网IP、信息泄露啥的(没啥意思就不写了)，高危就2俩。
1、越权修改任意账户别名
说明：可以修改任意指定的账户凭证别名，储蓄卡或者信用卡都可。
功能点：我的账户>账户管理>凭证别名/默认卡号>>凭证别名设置
连接：https://ebank.spdb.com.cn/per/main
参数：
SelectedMenuId=menu8_4_1_1&l1MenuId=menu8&l2MenuId=menu8_4&groupName=MyAccount&transName=PUserAcctInfoManage&resultcount=2&acctType0=1&acctNo0=6225212800256817&acctnickname0=aa&acctType1=U&acctNo1=&acctnickname1=&submitButton=%C8%B7%B6%A8
参数acctNo0为卡号，acctnickname0为凭证别名，只需修改acctNo0为指定卡号，即可修改，比如：6225212800256817

又比如：6225220180241309

登陆后查看，如下：

如果有人恶作剧的对所有卡号进行遍历并修改或者此处别名存在xss存储漏洞，那就真的通杀了。
2、订单号可以跑单
这个洞起初不想提的，因为订单参数OrderNum它是按照时间格式来命名，比如它的订单号是20150612012922376345，可以明显看出是一个精确到毫秒的命名，如果对这个进行一天的脱裤的话最起码要跑10位数字，没测过在保证业务安全的前提下要跑多长时间，所以这个洞是否能否真实应用有待考验，不过问题确实存在，本着负责想了一想还是写出来了。
功能点：我的订单>订单查询>订单详情
连接：https://ebank.spdb.com.cn/fmall/RealGoldQueryOrderStatus.do
参数：{"OrderNum":"20150612012922376345","_locale":"zh_CN"}