当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0175414

漏洞标题:国都期货主站平行权限漏洞可查看所有注册会员信息&XSS(用户名/电话/邮箱/姓名等)

相关厂商:国都证券

漏洞作者: 路人甲

提交时间:2016-02-11 10:15

修复时间:2016-02-22 09:00

公开时间:2016-02-22 09:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-02-11: 细节已通知厂商并且等待厂商处理中
2016-02-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

大概查了下国都期货相关信息:(原来国都证券是大股东,所以我就将问题厂商定位为国都证券...)
国都期货有限公司是经中国证监会批准,由国都证券有限责任公司和中诚信托有限责任公司共同出资设立的全国性期货公司,公司注册地为北京市。
公司注册资本2亿元人民币,其中国都证券有限责任公司持有公司62.31%的股份,中诚信托有限责任公司持有公司37.69%的股份。

详细说明:

国都期货(http://www.guodu.cc/)主站:

2.png

漏洞证明:

国都期货会员登录页面:http://www.guodu.cc/e/member/login/
使用注册功能注册一个账号,然后进行登录

3.png


我已经注册过了,账号为:zhangsss/123456

4.png


登录成功后,点击图中的用户名,系统跳转到如下页面,发现URL中存在userid参数

5.png


经过测试发现,通过遍历该参数可以查看其他已经注册的会员的信息
下面我就举几个例子。
例如userid=484

6.png


userid=486

7.png


userid=487

8.png


....
后来经过测试发现,根本不需要注册通过遍历userid来查看其他用户信息,访问http://www.guodu.cc/e/member/list/index.php地址可直接查看会员所有会员列表

9.png


可以随便点击相应的“会员资料”查看任意的会员信息,例如点击图中所示

11.png


会员信息一览无余

12.png


国都期货网站探针i.php也可以访问,泄露系统一些信息
http://www.guodu.cc/i.php

13.png


还存在XSS漏洞:
http://www.guodu.cc/e/member/list/index.php/%22/%3E%3Cscript%3Ealert%28/WOOYUN/%29%3C/script%3E

20.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-02-22 09:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无