记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

银联商务关键系统重大缺陷可获取商户信息

2015-05-18 00:45

http://service.chinaums.com登陆处可爆破,直接进官网。。。

商户后台,权限不用进一步证明吧?

QQ20150401-9.jpg



QQ20150401-8.jpg



QQ20150401-10.jpg



abcd账户密码太简单,登录进去需修改密码,改成了1234qweR

QQ20150401-3.jpg



QQ20150401-4.jpg



QQ20150401-5.jpg



QQ20150401-12.jpg

漏洞证明:

登录另一个商户看看:

QQ20150401-7.jpg



可以给全国的商户发信息:

QQ20150401-12.jpg





oliver的密码也改成了上面那个,测试了下其它功能

修复方案:

1、验证码及时失效

2、模糊错误提示

3、严格限制错误密码登录次数等。。

知识来源: www.wooyun.org/bugs/wooyun-2015-0105277

阅读:106257 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“银联商务关键系统重大缺陷可获取商户信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云