记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)

2015-08-30 05:35

列举一下该系统的问题:

1. 业务系统对公网开放

2. 存在弱口令,且无防暴力破解机制

3. 系统存在越权漏洞,可查看使用高权账号功能









漏洞证明:

偶然间扫到个地址,发现是玖信贷业务系统后台,且没有防暴力破解机。于是对系统进行暴力破解,发现存在弱口令账号。

后台地址:http://42.96.249.25

弱口令账号:

zhanglei

zhangyu

zhangliang

应该还有更多



登录后,发现该系统属于测试阶段,但里面拥有2015.5.29号之前的所有正式数据。。。

1. 账号投资明细

图片1.png





2. 普通用户管理(根据ID判断有70000+的用户)

QQ截图20150715165022.png





3. 发现用户审核处存在查看身份证照片功能。

QQ截图20150715165540.png



点击查看,发现账号权限不足。。。于是试了试看存不存在越权,劫持请求数据包,发现COOKIE中存在rule=26参数,果断把数值该为1。

QQ截图20150715165938.png



成功查看到身份证图片。

QQ截图20150715170335.png





4 另外还可以利用越权漏洞修改账号权限,查看其它高权限功能,以及其他重要敏感信息,不贴图了。

















修复方案:

安全建议:

1. 关闭重要业务系统的外网接口

2. 加强系统防暴力机制,修改弱口令账号

3. 修复越权漏洞,对用户权限进行校验

4. 应该还有其他漏洞,建议进行全面的渗透

系统数据很多,也很敏感,望企业尽快修复。

知识来源: www.wooyun.org/bugs/wooyun-2015-0126982

阅读:71057 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云