p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)

漏洞概要

缺陷编号:WooYun-2015-0126982

漏洞标题:p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)

相关厂商:玖信贷

漏洞作者:路人甲

提交时间:2015-07-15 18:10

公开时间:2015-08-29 18:12

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-07-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

p2p金融安全之玖信贷某系统漏洞(大量用户详细信息、业务交易信息、越权查看操作高权限功能等)

详细说明:

列举一下该系统的问题:1.业务系统对公网开放2. 存在弱口令,且无防暴力破解机制3. 系统存在越权漏洞,可查看使用高权账号功能

漏洞证明:

偶然间扫到个地址,发现是玖信贷业务系统后台,且没有防暴力破解机。于是对系统进行暴力破解,发现存在弱口令账号。后台地址:http://42.96.249.25弱口令账号:zhangleizhangyuzhangliang应该还有更多登录后,发现该系统属于测试阶段,但里面拥有2015.5.29号之前的所有正式数据。。。1. 账号投资明细

2. 普通用户管理(根据ID判断有70000+的用户)

3. 发现用户审核处存在查看身份证照片功能。

点击查看,发现账号权限不足。。。于是试了试看存不存在越权,劫持请求数据包,发现COOKIE中存在rule=26参数,果断把数值该为1。

成功查看到身份证图片。

4 另外还可以利用越权漏洞修改账号权限,查看其它高权限功能,以及其他重要敏感信息,不贴图了。

修复方案:

安全建议:1.关闭重要业务系统的外网接口2. 加强系统防暴力机制,修改弱口令账号3. 修复越权漏洞,对用户权限进行校验4. 应该还有其他漏洞,建议进行全面的渗透系统数据很多,也很敏感,望企业尽快修复。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

评价