当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131603

漏洞标题:中国证券业协会管理系统未授权访问可泄漏各大证券机构与其内部人员相信信息(数据可达26w+)

相关厂商:中国证券业协会

漏洞作者: 路人甲

提交时间:2015-08-06 10:38

修复时间:2015-08-06 11:17

公开时间:2015-08-06 11:17

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-06: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

携手证券协会白富美走上人生巅峰.

详细说明:

http://person.sac.net.cn/login.action#
明明前面有门,
后面都不判断一下是否登录..
http://person.sac.net.cn/pages/registration/sac-publicity-report.html
各种国泰君安,国元证券,德邦证券 blablabla...躺枪_(:з」∠)_
http://person.sac.net.cn/pages/registration/sac-publicity-finish.html?aoiId=1999088&ptiId=0
aoiId可遍历
来看一看国泰君安..

sac1.png


sac3.png


在看看广发

aa.png


可见所有证书编号以及离职在职信息.

漏洞证明:

那么到底有多少数据..excel统计一下..

sac2.png


26W+证券从业人员信息泄露.

修复方案:

限制查看权限,未登录不可访问.走心...

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-06 11:17

厂商回复:

此功能是协会对外提供的正常查询功能。就是要向社会公众查询的,也不需要登录,查询结果信息也不存在敏感内容。谢谢。

最新状态:

暂无