中国平安某重要站点存在SQL注入涉及200多万用户信息

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开

简要描述:

中国平安某重要站点存在SQL注入涉及200多万用户信息

详细说明:

http://cdd.yun.pingan.com:8080/NewChannel/target/info



输入车牌号和手机号 点击获取验证码



POST /NewChannel/target/verify HTTP/1.1

Host: cdd.yun.pingan.com:8080

Accept: */*

Proxy-Connection: keep-alive

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Origin: http://cdd.yun.pingan.com:8080

Content-Length: 39

Connection: keep-alive

User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 9_2_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13D15 MicroMessenger/6.3.15 NetType/WIFI Language/zh_CN

Referer: http://cdd.yun.pingan.com:8080/NewChannel/target/info

Cookie: WX_USER_OPEN_ID=0; JSESSIONID=F322F5DBBCD3D61B3A2E2792CC0CE72E



mobile=13012345678&validate=13012345678



2.jpg





3.jpg

 

漏洞证明:

 

3.jpg

 

修复方案:

waf

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-26 15:36

厂商回复:

感谢提交,此问题已经在公司psrc()系统上报了,问题正在修复中。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:中国平安某重要站点存在SQL注入涉及200多万用户信息 - https://www.15qq.cn/wooyun/924.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知