当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142974

漏洞标题:温州贷存在SQL注入漏洞可UNION(涉及18万用户账号密码信息/手机/身份证照片/银行卡账号)

相关厂商:wzdai.com

漏洞作者: 深度安全实验室

提交时间:2015-09-24 10:21

修复时间:2015-11-08 11:18

公开时间:2015-11-08 11:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 细节已通知厂商并且等待厂商处理中
2015-09-24: 厂商已经确认,细节仅向厂商公开
2015-10-04: 细节向核心白帽子及相关领域专家公开
2015-10-14: 细节向普通白帽子公开
2015-10-24: 细节向实习白帽子公开
2015-11-08: 细节向公众公开

简要描述:

温州贷致力于二手车贷款、房产抵押贷款、投资理财贷款等相关业务,在业内一直处于领先地位,成为互联网金融发展最快的公司之一,目前已和数10家融资性担保公司和小额贷款公司建立了合作伙伴关系。据第三方机构网贷之家数据排名显示,2013年温州贷以78.6亿元的成交量位居全国P2P行业之首,交易达81991笔,超越了平安旗下强势竞争对手陆金所。今日半天就成交80笔投资2226030 万元。

详细说明:

如下链接存在SQL注入,其中username存在问题

https://www.wzdai.com/gyb/trade/allTrade.html?page=null&order=1&projectName=all&username=e&priceArea=0&tradeToken=%20&callback=jQuery1113033065438410267234_1442924018943

wzd-1.jpg

漏洞证明:

以www_wzdai_new库为例,涉及160个表

wzd-2.jpg

以dw_user为例,存在18万用户信息

wzd-4.jpg

用户信息涉及账号名、密码、身份证号、手机号、邮箱、最近登录的IP地址,邀请人的ID。

wzd-5.jpg

wzd-6.jpg

wzd-7.jpg

wzd-9.jpg

涉及大量身份证照片

http://storage.aliyun.com/wzdoss/data/upfiles/images/2012-02/05/254_user_13284515646.jpg
http://storage.aliyun.com/wzdoss/data/upfiles/images/2012-02/06/256_user_13285032979.jpg
http://storage.aliyun.com/wzdoss/data/upfiles/images/2012-02/16/259_user_13293599400.jpg
http://storage.aliyun.com/wzdoss/data/upfiles/images/2012-02/07/264_user_13286103506.jpg
http://storage.aliyun.com/wzdoss/data/upfiles/images/2012-02/15/265_user_13292972996.jpg

2.png

1.png

3.png

修复方案:

版权声明:转载请注明来源 深度安全实验室@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-09-24 11:16

厂商回复:

感谢帮我们找到SQL注入漏洞,是否可以提供最佳的修复建议?谢谢。

最新状态:

暂无