试客联盟某7500万余额资金账户密码泄露

2015年6月17日15:45:38评论366 views字数 225阅读0分45秒阅读模式

摘要

2014-09-17：细节已通知厂商并且等待厂商处理中
2014-09-17：厂商已经确认，细节仅向厂商公开
2014-09-27：细节向核心白帽子及相关领域专家公开
2014-10-07：细节向普通白帽子公开
2014-10-17：细节向实习白帽子公开
2014-11-01：细节向公众公开

漏洞概要关注数(12) 关注此漏洞

缺陷编号： WooYun-2014-76106

漏洞标题：试客联盟某7500万余额资金账户密码泄露

漏洞作者： Suner

提交时间： 2014-09-17 16:05

公开时间： 2014-11-01 16:06

漏洞类型：后台弱口令

危害等级：高

自评Rank： 15

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感信息泄露安全意识不足安全意识不足

0人收藏

漏洞详情

披露状态：

简要描述：

资金账户泄露，7500万余额吓尿我，虽然提现是不太可能，但是看到这余额挺爽啊，拿一半做奖金可好 -，-

详细说明：

试客联盟的支付网站，互联支付 http://www.hulianpay.com/ 账号就是网站名，密码123456

这种账号密码居然这么简单，你以为加个验证码登陆就安全了么。

不知道为什么会存在这样一个号，而且密码还这么简单。

在明细里可以看到11年到现在的所有交易

VIP年费卖5000多，得买多少QQ会员啊-，-

提现，我还是不点了...

漏洞证明：

这里还有两个洞，研究研究在提交。

修复方案：

版权声明：转载请注明来源 Suner@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2014-09-17 16:22

厂商回复：

一个内部账号使用了弱密码，导致可以随意查看内部信息，现已对此进行修复。感谢漏洞作者的发现:)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-17 16:09 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )

1

我的少了7000万还我

1# 回复此人
2014-09-17 18:26 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

0

上次乐彩彩票我挨个看了前几名的账户余额每个都几十万多的一二百万还能提现次奥要犯罪的节奏

2# 回复此人
2014-10-07 17:22 | 深蓝 ( 普通白帽子 | Rank:1174 漏洞数:256 | 我就静静的看着你装逼，我就是不理你。)

0

@乐乐、你敢吗？他们叫猪猪侠收你哈哈

3# 回复此人
2014-10-07 18:24 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

1

@深蓝敢不敢是一回事儿，那么现在问题来了，猪猪侠是谁？

4# 回复此人
2014-10-07 19:32 | 深蓝 ( 普通白帽子 | Rank:1174 漏洞数:256 | 我就静静的看着你装逼，我就是不理你。)

1

@乐乐、猪猪侠都不知道你白混了乌云了

5# 回复此人
2014-10-08 09:07 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

0

@深蓝你知道吗...

6# 回复此人
2014-11-02 19:41 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

1

呵呵，注孤生...此类现金体现漏洞直接现金交易卖掉。你不敢体现，有人敢...

7# 回复此人

漏洞概要 关注数(12) 关注此漏洞