当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107657

漏洞标题:某大型P2P理财平台普资华企存在漏洞可操作上亿金额以及充值提现记录

相关厂商:pccb.com

漏洞作者: Ch丶0nly

提交时间:2015-04-14 15:12

修复时间:2015-05-29 16:02

公开时间:2015-05-29 16:02

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-14: 细节已通知厂商并且等待厂商处理中
2015-04-14: 厂商已经确认,细节仅向厂商公开
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

上海普资金融信息服务有限公司于2014年3月在上海成立,注册资本壹亿元人民币,为普资华企金融互联网信息服务平台(www.pccb.com)的运营方。上海普资金融以在金融行业平均从业年限超过15年的高管团队为核心,凝聚了一批在金融、互联网技术领域有着丰富实践经验的行业精英,他们是金融互联网创新的践行者。

详细说明:

这里就不做过多介绍了 直接描述漏洞细节!
这次漏洞依然出现在XSS上面 主站总后台沦陷
又一处XSS 跟前面的不在一处 未重复
先附上Cookie



mask 区域


1.http://**.**.**/Ali_ht/index/index







Cookie : pgv_pvi=5435714560; PHPSESSID=c566jb3gohs1l95o9bh6n48ae6; pgv_si=s6674957312; Hm_lvt_aa49f6a49617c03f2c54786a67899f13=1425522948,1426211751,1426468557,1426729468; Hm_lpvt_aa49f6a49617c03f2c54786a67899f13=1427937692; Hm_lvt_7032315dd46bdbd02d45b15ca8994012=1425522948,1426211752,1426468557,1426729468; Hm_lpvt_7032315dd46bdbd02d45b15ca8994012=1427937692; __ozlvd2015=1427937692; _ga=GA1.2.1803710770.1414129414; think_language=zh-CN; CNZZDATA4359948=cnzz_eid%3D1597023484-1420424755-http%253A%252F%252Fadmins.pccb.com%252F%26ntime%3D1427944389


个人中心-充值-选择支付宝充值-他会让我们填写姓名、支付宝账号、然后我们在支付宝姓名或者账号处写入我们的XSS代码 审核充值记录时就会执行

1.jpg


1.jpg


1.jpg


执行我们的XSS代码 成功登陆后台

mask 区域 
1.http://**.**.**/ali_ht/index/index


1.jpg


支付宝充值记录

1.jpg


所有会员列表、余额

1.jpg


1.jpg


漏洞证明:

修复方案:

建议厂商把网站表单全部做下XSS过滤 因为XSS实在太多了 (随便装个360网页卫士也是能有效过滤XSS及注入漏洞的) 另外总后台希望设置指定IP访问 看你们的访问地址好像都是公司IP 这样安全一些
关于钱的东西 一定要重视!

版权声明:转载请注明来源 Ch丶0nly@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-04-14 16:00

厂商回复:

漏洞已经处理。感谢您对普资金融安全的关注!

最新状态:

暂无