点到按摩再次渗透测试(数十万元优惠券可泄露用来免费按摩)

漏洞概要

缺陷编号:WooYun-2015-0129743

漏洞标题:点到按摩再次渗透测试(数十万元优惠券可泄露用来免费按摩)

相关厂商:diandao.org

漏洞作者:ago

提交时间:2015-07-27 17:52

公开时间:2015-09-14 20:28

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-27: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已经确认,细节仅向厂商公开
2015-08-10: 细节向核心白帽子及相关领域专家公开
2015-08-20: 细节向普通白帽子公开
2015-08-30: 细节向实习白帽子公开
2015-09-14: 细节向公众公开

简要描述:

点到按摩再次渗透测试(免费按摩爽不爽,数十万元优惠券)

详细说明:

入手点:

看来真的跟58很有渊源啊何流 [email protected] 1988123he[email protected]

漏洞证明:

优惠券100元*1000张

[email protected] 1988123he含智联,拉钩账户等北京彩虹乐享信息技术有限公司精准营销(代理商)正式帐号已经开通! 总机号码为:400 819 1190首先您登录代理商后台,地址为:http://60.247.29.33ID:CHLX密码:chle!@#登录后,将下面的基本步骤设置好后,您就可以使用了!1、 进入“商户”——创建商户帐户2、 进入“账户管理”——为商户“充值”3、  进入“接线员信息”——>管理——>新建(绑定接线员信息)您的微信支付商户申请已经审核通过!商户号(PartnerID): 1223834001商户名称: 北京彩虹乐享信息技术有限公司登录密码: 111111初始密钥(PartnerKey): 5e12f373ea341e8ed68a1a72b806d961安全证书: 1223834001_20141119153935.pfx(请下载邮件附件)银行账号: 110913176910127提示:此账号用于您与财付通之间的结算您已经使用张思佳 ([email protected])[email protected]此邮件包括您的注册账户信息。今天,您可以使用此账户轻松注册长城会举办的所有活动。账户邮箱: [email protected]默认密码: ef6ea4点击 这里 登录。hi!你好!以下是store端的后台账号信息。账号:jd_dd01 密码:dd123456账号:jd_dd02 密码:dd123456store端后台登陆地址:http://store.jd.com此后台是提供给商家运营修改价格、库存、以及查询订单使用的。[email protected] diandao123

修复方案:

加强密码,增强安全意识

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-3120:26

厂商回复:

感谢提供漏洞,我方积极修复。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 土夫子 白帽子 | Rank:348 漏洞数:38)

    http://wooyun.org/bugs/wooyun-2015-0129423/trace/38b3cbe6eed084509b3595f3e4445665

    为毛我这个就没人审核?

  2. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    撸主, 是哥们就免费送兄弟一个大保健

  3. 2010-01-01 00:00 土夫子 白帽子 | Rank:348 漏洞数:38)

    撸主, 是哥们就免费送兄弟一个大保健

  4. 2010-01-01 00:00 机器猫 白帽子 | Rank:901 漏洞数:90)

    撸主, 是哥们就免费送兄弟一个大保健

  5. 2010-01-01 00:00 0c0c0f 白帽子 | Rank:30 漏洞数:5)

    撸主, 是哥们就免费送兄弟一个大保健

  6. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    卧槽,这才是社工