记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

某第三方银行移动业务服务商SQL注入漏洞(数万用户信息)

2014-06-12 21:05

先说说怎么找到的吧。



http://wap.abchina.com/Portal/logon/Index.aspx 这是农行的wap页面,浏览器访问能看到这里提供的信息。

1.jpg





http://3g.paybest.cn/abc_drawing.php?drawing=4 中国农业银行-暑假"疯"行,保险、抽奖、送不停!机票"无底线"!



可以看到,是农行的活动页面,本想提交给农行的,不过这业务是由万易通提供的,看了介绍,应该是向各大银行wap提供的服务。



sqlmap -u "http://3g.paybest.cn/abc_drawing.php?drawing=4"



1.jpg





1.jpg





用户信息:

1.jpg





1W+用户呢。。

1.jpg





后台没找到,就没继续深入。。

漏洞证明:

1.jpg

修复方案:

升级、、


知识来源: www.wooyun.org/bugs/wooyun-2014-058745

阅读:154008 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“某第三方银行移动业务服务商SQL注入漏洞(数万用户信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁