漏洞概要 关注数(27) 关注此漏洞
缺陷编号: WooYun-2016-183654
漏洞标题: POS机安全之乐刷一处爆破/SQL注入(约170W数据包含身份证/银行卡/商家微信接口)
相关厂商: 乐刷
漏洞作者: 小龙
提交时间: 2016-03-12 11:00
公开时间: 2016-04-30 17:11
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 数据库账户权限过高 php+php+数字类型注射
漏洞详情
披露状态:
2016-03-12: 细节已通知厂商并且等待厂商处理中
2016-03-16: 厂商已经确认,细节仅向厂商公开
2016-03-26: 细节向核心白帽子及相关领域专家公开
2016-04-05: 细节向普通白帽子公开
2016-04-15: 细节向实习白帽子公开
2016-04-30: 细节向公众公开
简要描述:
乐刷 是中国首家手机支付业务平台,为广大用户提供了财付通充值、支付宝充值、信用卡还款、手机充值、游戏充值、团购、电影票、彩票等特色便民服务,让您的生活更方便。
乐刷产品包括手机APP,和一个手机刷卡器的硬件。用户在没有开通网银的情况下,只需一台装有乐刷APP的智能手机,一台乐刷刷卡器和一张银行卡,就可以随时随地的刷卡支付。
乐刷作为手机刷卡支付业务的领先者,将为促进电子商务产业的持续发展做出不懈努力。
乐刷刷卡器目前上市的是V3.0的刷卡器。
详细说明:
以上密码均为123456
登录地址在:http://**.**.**.**/
数据量大得惊人。。。
看下账户泄露,我们能看到啥
1:公司位置以及一些敏感信息
甚至可以看到身份证银行卡
码是我自己打的哦。。
http://**.**.**.**/picture/leposupload/idcardFront/big/9e3b6dbb6cd5aa6e678333cb7e30296e_idcardFront.JPG
高清五码地址如上,需登录后查看
还有一处SQL注入
数据有个25万
back-end DBMS: MySQL 5.0
Database: o2o
+--------------------------------+---------+
| Table | Entries |
+--------------------------------+---------+
| t_baidu_push | 257965 |
| t_shop | 122723 |
| t_update_ver_2 | 103655 |
| t_commodity | 48586 |
| t_ads_push | 48331 |
| t_ibeacon_seq | 42700 |
| t_well_shop_log | 35834 |
| t_agent_machines_import_record | 22938 |
| t_ibeacon_wx | 12372 |
| t_ibeacon | 12147 |
| t_ledad_2 | 10359
这些就已经达到了692929
这还有个10万的
这还有个100万的
170万数据侧漏
别的不说,里面的代理商的身份证,银行卡都泄露了。就麻烦了
谁还用你做代理,都找比你们好的啦
注入是在这里:http://**.**.**.**/mall/page/page_edit.do?FId=4793
活动管理的FId参数,编辑时候就会出现此参数
但是没有越权哦,这方面赞一个。。不然我估计不用开了,,,
估计有些人绑定了,由于跑数据太慢。。不跑了
看看土豪们的总交易额
20万
34万
9万7千
5万
35万
23万
12万
以妹纸照片结尾,睡觉去,大晚上熬夜码字好累。。。
漏洞证明:
11
修复方案:
加强用户密码规则。密码标准参考dz系统的设密方式
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2016-03-16 17:11
厂商回复:
CNVD未直接复现所述情况,已由CNVD通过公开联系渠道向其邮件通报。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论