民生银行某账户体系控制不严涉及贷款资料/大量敏感数据

admin

106083
文章

89
评论

2017年4月18日23:34:16评论292 views字数 240阅读0分48秒阅读模式

摘要

2016-04-18：细节已通知厂商并且等待厂商处理中
2016-04-18：厂商已经确认，细节仅向厂商公开
2016-04-18：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-197688

漏洞标题：民生银行某账户体系控制不严涉及贷款资料/大量敏感数据

漏洞作者：隔壁小王

提交时间： 2016-04-18 09:27

修复时间： 2016-04-18 10:33

公开时间： 2016-04-18 10:33

漏洞类型：账户体系控制不严

危害等级：高

自评Rank： 20

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：用户敏感信息泄露

1人收藏

漏洞详情

披露状态：

2016-04-18：细节已通知厂商并且等待厂商处理中
2016-04-18：厂商已经确认，细节仅向厂商公开
2016-04-18：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

表哥：牛小帅，玄道
数据量预计过百万
包含 :贷款项目，借款人，身份证，手机号，配偶身份证，借据号，放款金额，还款卡号等详细信息

详细说明：

mail.cmbc.com.cn zhangyou123

漏洞证明：

我就不把数据贴上来了审核自己去看

预计数据过百万这个邮箱发件箱每天都会发送账户余额不足明细

修复方案：

这个应该有闪电了吧有大厂了吧

版权声明：转载请注明来源隔壁小王@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-04-18 09:34

厂商回复：

感谢对我们的支持，我们会尽快处理。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-18 09:37 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

1

5 Rank ......

1# 回复此人
2016-04-18 10:06 | 中国民生银行(乌云厂商)

2

@隔壁小王感谢对我们的支持。

2# 回复此人
2016-04-18 10:09 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

1

@中国民生银行貌似数据过百万哦

3# 回复此人
2016-04-18 10:18 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

1

@中国民生银行联系方式已发送

4# 回复此人
2016-04-19 10:15 | 盛大网络(乌云厂商)

1

5 rank 银行真不重视

5# 回复此人
2016-04-19 10:20 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

0

@盛大网络下次去挖你们盛大的如何

6# 回复此人
2016-04-19 10:20 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

0

@盛大网络盛大应该也会有这个问题

7# 回复此人
2016-04-19 14:32 | sai ( 路人 | Rank:3 漏洞数:1 | 菜鸟一名)

0

这公司怎么回事？账号密码被破解了？

8# 回复此人
2016-04-20 08:37 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

0

应该是密码和用户名一样吧！

9# 回复此人
2016-04-20 22:36 | 信鑫 ( 路人 | Rank:6 漏洞数:3 | web前端小白帽)

0

牛逼

10# 回复此人
2016-05-07 01:47 | Any3ite ( 路人 | Rank:26 漏洞数:12 | 土耳其web 国内的我就看看不说话)

0

@隔壁小王说好的闪电呢。。。 @中国民生银行确实抠门了点。。

11# 回复此人

漏洞概要 关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-197688

漏洞标题： 民生银行某账户体系控制不严涉及贷款资料/大量敏感数据

相关厂商： 中国民生银行

漏洞作者： 隔壁小王