当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070202

漏洞标题:好买基金xss跨站与账户缺陷漏洞组合可能影响账户资产(基金类产品安全堪忧)

相关厂商:好买基金网

漏洞作者: 路人甲

提交时间:2014-07-30 12:49

修复时间:2014-09-13 12:50

公开时间:2014-09-13 12:50

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

好买基金整站全是漏洞,算是半个同行,所以先是给他们客服说网站存在N多问题,和许多安全漏洞。
但是至今未回复且未修复。
已影响数千万资产用户。

详细说明:

好买基金整站沦陷的感觉,全是漏洞

4000w.png


整个网站已经沦陷·全是

已经沦陷.jpg

漏洞证明:

大户

4000w.png


资金明细

4000w明细.jpg


个人信息

gm个人信息.png


无任务限制修改绑定邮箱手机等,可通过修改的邮箱修改密码等

无任务限制修改绑定邮箱手机等,可通过修改的邮箱修改密码等.png


自己邮箱收到的信息

自己邮箱收到的信息.jpg


==============================================================================
其他一些轻微的xss我就不贴图了,因为太多了,可以给出地址自己去验证
存储型xss:http://www.howbuy.com/fund/620001/comments/?perPage=100
xss:http://www.howbuy.com/myfund/accountadmin.htm?method=edit&accountid=1599351451&dfaccount=1599351451&accountName=%3Cscript%3Ealert%281%2B1%29%3C%2Fscript%3E&defaultflag=1&accountMark=%3Cscript%3Ealert%281%2B1%29%3C%2Fscript%3E
存储型xss:https://trade.ehowbuy.com/account/modpsd/modgreetmsgindex.htm?tabIndex=3
您的原验证信息为: "/><script>alert(1+1)</script>
xss: https://trade.ehowbuy.com/chuxuguan/withdraw.htm?method=withdrawConfirm&protoNo=022222247416&tradeAmount=%22/%3E%3Cscript%3Ealert(String.fromCharCode(88,83,83))%3C/script%3E&wtype=1&tradePwd=******
PS:论坛和博客不用就关了,照样存在漏洞,xss打到一个存在论坛权限的用户,然后能够拿shell。估计网站上面的webshell也不会太少。
那个测试用户上存在你们产品经理的个人信息如果用上社工你们交易系统都得沦陷。给你们提过多次都未曾搭理。
系统安全漏洞即使补上,业务也满是漏洞。

修复方案:

spring+freemaker不会使架构应该不错。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝