漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0126044
漏洞标题:p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)
相关厂商:悟空理财
漏洞作者: 艾薇儿
提交时间:2015-07-10 23:38
修复时间:2015-08-25 00:28
公开时间:2015-08-25 00:28
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-11: 厂商已经确认,细节仅向厂商公开
2015-07-21: 细节向核心白帽子及相关领域专家公开
2015-07-31: 细节向普通白帽子公开
2015-08-10: 细节向实习白帽子公开
2015-08-25: 细节向公众公开
简要描述:
悟空理财,Smart your money!
详细说明:
玖富成立于2006年,通过互联网为用户提供个人理财、消费分期信贷、小微商户信贷等优质便捷的微型金融服务,是国内领先的P2P网络借贷平台。
这个和悟空理财是什么关系呢
然后我翻了翻 ,
http://www.wooyun.org/bugs/wooyun-2010-0110374
http://www.wooyun.org/bugs/wooyun-2010-0104180
http://www.wooyun.org/bugs/wooyun-2010-093546
厂商都忽略掉了,,,, 我也好怕被忽略呢
所以选择了悟空作为厂商来提交漏洞,
这个漏洞时从一个弱密码的企业邮箱开始,而且还是找到一个运维的企业邮箱
密码就是9fbank
在邮件里找到一个:
看下漏洞,大神管管侠的的呀! 赶紧膜拜一下大侠
然后在邮箱搜索框 ,搜下关键字,敏感信息很多很多
太多的敏感信息
在一个邮件里面又找到另外一个成员 微理财 (后台统计权限)
一天上千万的流水,,,,,是酱紫的吗?
通过弱密码,又找到一个HR的邮箱,发现一些员工福利
再来看下企业通讯录
找到大boss(钻石王老五)的联系方式,。。。。
老板真的很给力。悟空钱包也很给力,
那么问题就来了, 来个给力的礼物肿么样呢?
漏洞证明:
修复方案:
版权声明:转载请注明来源 艾薇儿@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2015-07-11 00:26
厂商回复:
谢谢白帽子。请勿公开,切切
最新状态:
暂无