宁波银行直销银行看任意卡余额

2017年4月28日14:19:56评论342 views字数 209阅读0分41秒阅读模式

摘要

2016-04-26：细节已通知厂商并且等待厂商处理中
2016-04-26：厂商已经确认，细节仅向厂商公开
2016-05-06：细节向核心白帽子及相关领域专家公开
2016-05-16：细节向普通白帽子公开
2016-05-26：细节向实习白帽子公开
2016-06-10：细节向公众公开

漏洞概要关注数(18) 关注此漏洞

缺陷编号： WooYun-2016-200774

漏洞标题：宁波银行直销银行看任意卡余额

漏洞作者：咚咚呛

提交时间： 2016-04-26 14:12

公开时间： 2016-06-10 17:00

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 11

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：金融小能手

0人收藏

漏洞详情

披露状态：

简要描述：

此次风险影响宁波银行直销银行的所有账户。-----此风险为老司机打卡，勿关注

详细说明：

链接：

code 区域

https://zxyh.nbcb.com.cn/desktop/LimitQry.do

这个链接时不时会出来，举例为点击安全中心功能：

发送数据包如下：

篡改相关卡号提示如下：

遍历卡号后三位，跑下数据，如下：

可遍历出一批账户出来，并且可以看到账户相对应的人民币余额，可以看到6222811330094219账户余额为38.00

漏洞证明：

链接：

code 区域

https://zxyh.nbcb.com.cn/desktop/LimitQry.do

这个链接时不时会出来，举例为点击安全中心功能：

发送数据包如下：

篡改相关卡号提示如下：

遍历卡号后三位，跑下数据，如下：

可遍历出一批账户出来，可以看到6222811330094219账户余额为38.00

修复方案：

1、权限判断吧

版权声明：转载请注明来源咚咚呛@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2016-04-26 16:55

厂商回复：

感谢您对宁波银行的关注，我们尽快安排人员进行处理

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-26 14:58 | xtnnd ( 普通白帽子 | Rank:184 漏洞数:45 | t-safe)

0

滴，学生卡

1# 回复此人
2016-04-26 15:25 | 剑芯 ( 实习白帽子 | Rank:48 漏洞数:15 | xsser)

0

滴，智商卡

2# 回复此人
2016-04-26 15:35 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

0

滴，约炮卡

3# 回复此人
2016-04-26 16:17 | 卖C4的小男孩 ( 普通白帽子 | Rank:110 漏洞数:19 | 啦啦啦啦啦啦我是一个卖C 4的小行家!...)

0

滴,穴深卡

4# 回复此人
2016-06-10 19:41 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

0

滴，装逼卡

5# 回复此人

漏洞概要 关注数(18) 关注此漏洞

缺陷编号： WooYun-2016-200774

漏洞标题： 宁波银行直销银行看任意卡余额

相关厂商： 宁波银行股份有限公司

漏洞作者： 咚咚呛