宁波银行直销银行看任意卡余额
漏洞详情
披露状态:
2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开
简要描述:
此次风险影响宁波银行直销银行的所有账户。-----此风险为老司机打卡,勿关注
详细说明:
链接:
这个链接时不时会出来,举例为点击安全中心功能:
发送数据包如下:
篡改相关卡号提示如下:
遍历卡号后三位,跑下数据,如下:
可遍历出一批账户出来,并且可以看到账户相对应的人民币余额,可以看到6222811330094219账户余额为38.00
漏洞证明:
链接:
这个链接时不时会出来,举例为点击安全中心功能:
发送数据包如下:
篡改相关卡号提示如下:
遍历卡号后三位,跑下数据,如下:
可遍历出一批账户出来,可以看到6222811330094219账户余额为38.00
修复方案:
1、权限判断吧
版权声明:转载请注明来源 咚咚呛@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2016-04-26 16:55
厂商回复:
感谢您对宁波银行的关注,我们尽快安排人员进行处理
最新状态:
暂无
