漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0133905
漏洞标题:时时融网贷系统存在任意用户密码重置漏洞
相关厂商:时时融
漏洞作者: 路人甲
提交时间:2015-08-18 17:19
修复时间:2015-10-02 17:20
公开时间:2015-10-02 17:20
漏洞类型:网络未授权访问
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-02: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
一不小心重置了一个p2p网贷系统,然后找到他的系统开发公司,成功案例中就可以重置一批网贷系统任意用户密码,直接登录,爽歪歪
详细说明:
http://www.nuochencaifu.com/
http://www.haihengdai.com/
http://www.888yixinwang.com/
http://www.huifengjinrong.cn/
http://www.hnhsjr.com/
http://42.96.189.69/
http://www.shangced.com/
http://114.215.135.76/
https://121.42.142.169/
暂时找到这些,拿http://www.huifengjinrong.cn/测试
居然需要用户名,不知道咋办,去首页找找
看第一名感觉应该是旗开得胜,试试真的成功了
邮箱是: [email protected]
然后试试改掉后发邮件
改成我的居然真的发送成功了
根据提示修改密码成 qq123123
成功重置密码了
有钱人。。。
漏洞证明:
http://www.nuochencaifu.com/
http://www.haihengdai.com/
http://www.888yixinwang.com/
http://www.huifengjinrong.cn/
http://www.hnhsjr.com/
http://42.96.189.69/
http://www.shangced.com/
http://114.215.135.76/
https://121.42.142.169/
暂时找到这些,拿http://www.huifengjinrong.cn/测试
居然需要用户名,不知道咋办,去首页找找
看第一名感觉应该是旗开得胜,试试真的成功了
邮箱是: [email protected]
然后试试改掉后发邮件
改成我的居然真的发送成功了
根据提示修改密码成 qq123123
成功重置密码了
有钱人。。。
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)