当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104199

漏洞标题:某大型P2P理财网站越权删除别人的银行帐号

相关厂商:nonobank.com

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-03-29 23:36

修复时间:2015-04-27 08:25

公开时间:2015-04-27 08:25

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:1

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-29: 细节已通知厂商并且等待厂商处理中
2015-03-30: 厂商已经确认,细节仅向厂商公开
2015-04-09: 细节向核心白帽子及相关领域专家公开
2015-04-19: 细节向普通白帽子公开
2015-04-27: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

又顺手检测了一下···

详细说明:

这里我用了两个帐号测试 帐号就不公开了 通过上一个漏洞获取帐号不是问题 下面我们就来说说怎么越权删除别人的帐号吧
首先两个帐号都要先添加 银行账户 (因为帐号什么的都没验证 随便输入一些数字就行了)下面两张是wooyun888添加的银行帐号信息

1.png


2.png


下面两张是 wooyun456 添加的银行帐号信息

3.png


4.png


我们点一下 wooyun888 帐号的银行卡 点击修改

5.png


得到银行卡帐号id 115952 回到 wooyun456 的帐号页面 开启 burp 点击删除

6.png


我们将 key_value=115955 改为 key_value=115952 然后 forward 数据 我们刷新下 wooyun456的银行卡帐号页面 发现帐号还在

7.png


我们再刷新下 wooyun888 的银行卡帐号页面

8.png


神奇的事就那么简单 遍历id 可批量删除银行卡信息···

漏洞证明:

修复方案:

作为 p2p 网站···银行卡信息···你懂得···

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-03-30 09:04

厂商回复:

系统已经加了权限控制,一个人只能删除自己的银行卡。且银行卡删除是逻辑删除。非常感谢您的检测。

最新状态:

2015-04-27:非常感谢。在您发现的第二天就已经更正。忘记更新状态了