当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119823

漏洞标题:分期乐存储型XSS(已打后/大量敏感数据)

相关厂商:fenqile.com

漏洞作者: r3d0x8

提交时间:2015-06-14 23:54

修复时间:2015-07-30 10:18

公开时间:2015-07-30 10:18

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-14: 细节已通知厂商并且等待厂商处理中
2015-06-15: 厂商已经确认,细节仅向厂商公开
2015-06-25: 细节向核心白帽子及相关领域专家公开
2015-07-05: 细节向普通白帽子公开
2015-07-15: 细节向实习白帽子公开
2015-07-30: 细节向公众公开

简要描述:

分期乐是一家专注于大学生分期购物的在线商城及金融服务提供商,提供分期购物和现金消费服务。
对用户输入的数据过滤方式不正确,导致存储型XSS,且定向打管理cookie.能查看商城敏感数据。

详细说明:

1.漏洞处
问题出现在http://zhaopin.fenqile.com/。

1.PNG


点击图中的立即应聘.

2.PNG


弹出填写的框,在此处学校一栏直接填入XSS code会被客户端直接提示出错,而不会提交。用Burp Suite拦截包,在学校一栏直接插入XSS code就绕过了。

3.PNG


然后就提交成功了。
2.危害
在XSS平台收到cookie,成功登录后台。

4.PNG


5.PNG


观察得知打到的是类似区域经理的cookie.不是网站最高权限,但也足够影响大量数据了。提交哪个区域就打哪个区域的经理。要想扩大战果,就多提交几个繁华地区的应聘。
除了业务系统和hr系统有限制,其他都有权限进入。
2.1 查看和删除、修改校园经理一级的详细资料
包括他们的电话、身份证号、照片、身份证照片、银行卡号(有这些东西能做很多坏事了)。以及业务情况、收益。

6.PNG


可添加代理。甚至全部冻结、删除他们的资料,这样一个区域的营销应该就混乱了。
如果把校园经理的建行卡号换成我的,会不会打工资到我的卡上呢?
2.2 查看购物平台交易情况、经营状态
很多数据可看,可能作为商业秘密,为避免竞争对手知晓,我就全打码。

7.PNG


9.PNG


从交易量上可以看出你们在飞速发展。
查看本区域所有交易情况,隐藏了交易者资料,但查看右边的查看备注就能看到交易人的姓名和手机号了。
什么?李同学,你准备贷款6000+买神舟!

8.PNG


2.3 查看众多应聘者的资料
罪魁祸首的地方,有很多应聘者资料
包括姓名、手机、邮箱、大学名称,甚至详细的简历单。越繁华的地方应聘者越多。

10.PNG


漏洞证明:

后台

5.PNG


各种数据

6.PNG


7.PNG

修复方案:

贵商场尚未进入乌云平台,作为涉及金额交易的购物企业,安全方面的投资是重要的资产,遇到安全问题是迟早的事,建议你们正视乌云白帽子提交的漏洞,赶快在乌云注册个帐号,不要忽略了哦!
技术问题你们比我更懂!

版权声明:转载请注明来源 r3d0x8@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-15 10:17

厂商回复:

感谢关注分期乐平台安全,已做修复处理

最新状态:

暂无