p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

漏洞概要

缺陷编号:WooYun-2015-0126044

漏洞标题:p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

相关厂商:悟空理财

漏洞作者:艾薇儿

提交时间:2015-07-10 23:38

公开时间:2015-08-25 00:28

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-11: 厂商已经确认,细节仅向厂商公开
2015-07-21: 细节向核心白帽子及相关领域专家公开
2015-07-31: 细节向普通白帽子公开
2015-08-10: 细节向实习白帽子公开
2015-08-25: 细节向公众公开

简要描述:

悟空理财,Smartyour money!

详细说明:

玖富成立于2006年,通过互联网为用户提供个人理财、消费分期信贷、小微商户信贷等优质便捷的微型金融服务,是国内领先的P2P网络借贷平台。这个和悟空理财是什么关系呢

然后我翻了翻 ,http://www.wooyun.org/bugs/wooyun-2010-0110374http://www.wooyun.org/bugs/wooyun-2010-0104180http://www.wooyun.org/bugs/wooyun-2010-093546厂商都忽略掉了,,,, 我也好怕被忽略呢所以选择了悟空作为厂商来提交漏洞,这个漏洞时从一个弱密码的企业邮箱开始,而且还是找到一个运维的企业邮箱

密码就是9fbank在邮件里找到一个:

看下漏洞,大神管管侠的的呀! 赶紧膜拜一下大侠

然后在邮箱搜索框 ,搜下关键字,敏感信息很多很多

太多的敏感信息

在一个邮件里面又找到另外一个成员 微理财 (后台统计权限)

一天上千万的流水,,,,,是酱紫的吗?

通过弱密码,又找到一个HR的邮箱,发现一些员工福利

再来看下企业通讯录

找到大boss(钻石王老五)的联系方式,。。。。

老板真的很给力。悟空钱包也很给力,

那么问题就来了, 来个给力的礼物肿么样呢?

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-07-1100:26

厂商回复:

谢谢白帽子。请勿公开,切切

最新状态:

暂无

评价

  1. 2010-01-01 00:00 艾薇儿 白帽子 | Rank:476 漏洞数:37)

    @悟空理财 为什么少了2RANK?

  2. 2010-01-01 00:00 约吗 白帽子 | Rank:15 漏洞数:1)

    悟空理财是个啥,有八戒理财吗

  3. 2010-01-01 00:00 zsmj 白帽子 | Rank:169 漏洞数:12)

    和猪八戒网有啥关系、、