金融服务商安全之某大型P2P平台高危SQL注入漏洞

漏洞概要

缺陷编号:WooYun-2015-0126685

漏洞标题:金融服务商安全之某大型P2P平台高危SQL注入漏洞

相关厂商:www.anxin.com

漏洞作者:黑暗游侠

提交时间:2015-07-14 16:14

公开时间:2015-08-29 16:38

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开

简要描述:

金融服务商安全之某大型P2P平台高危SQL注入漏洞

详细说明:

安心贷(www.anxin.com)是君安信(北京)科技有限公司的独立品牌。安心贷成立于2011年,是中国较早开始运营的P2P网贷平台。安心贷以金融从业者严谨务实的态度,逐步发展起来。安心贷是最早一批对于投资人进行风险保障的平台,并始终要求借款人用资产进行超额抵押。通过严格的风控,安心贷成为中国网贷行业违约率最低的平台之一。安心贷拥有一支精通金融理财、互联网技术和政策法规的专业队伍。本着“高效,低调,求真,务实”的宗旨,不断提升交易安全等级和服务质量,赢得了良好的用户口碑,帮助急需融资发展的小微企业和个体工商从业者获得融资贷款,成为国内知名品牌。安心贷是安全、透明、稳定、高效的互联网金融平台,致力于利用互联网的便捷高效的特点,整合行业优质资源,为小微企业主和投资理财人士提供高质量的金融信息对接服务。

漏洞证明:

漏洞post请求:

过滤不严,可以盲注Result:

修复方案:

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-1516:36

厂商回复:

感谢对我们系统的完善做出的努力

最新状态:

暂无

评价

  1. 2010-01-01 00:00 染血の雪 白帽子 | Rank:178 漏洞数:17)

    游侠今天好高产

  2. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    他不是今天好高产 是这月都好高产!

  3. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @玉林嘎 说的好像你不高产一样→_→

  4. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @玉林嘎 @染血の雪 希望能进榜

  5. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    @DloveJ 我一个月就交几个

  6. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @玉林嘎 个个2k-_-#

  7. 2010-01-01 00:00 茜茜公主 白帽子 | Rank:899 漏洞数:85)

    找不到漏洞提交,求带我

  8. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    快来看啊,茜茜公主卖萌了

  9. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @茜茜公主 你已经不让人活了,555