某大型第三方支付机构账户体系控制不严导致的血案(影响企业金融信息)

编号215076
Urlhttp://www.wooyun.org/bug.php?action=view&id=215076
漏洞状态已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞标题某大型第三方支付机构账户体系控制不严导致的血案(影响企业金融信息)
漏洞类型账户体系控制不严
厂商中国银联
白帽子路人甲
提交日期2016-06-01 16:18:00
公开日期2016-07-18 10:20:00
修复时间(not set)
确认时间2016-06-03 00:00:00
Confirm Spend2
漏洞标签弱口令
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank7
漏洞简介
影响到超大量交易订单 工商信息 交易报告 故评高
漏洞细节

首先是这个站点

http://**.**.**.**/login


没有验证码, 弱口令爆破 爆出一个账户

[email protected]**.**.**.**
123456


然后登录 结果这系统太奇葩

奇葩登录成功.png


奇葩2.png


登录后啥都没有也是醉= =
只能放弃了
找到另外一个子域名

https://zhangdan.**.**.**.**/sessions/new?service=http%3A%2F%2Fzhangdan.**.**.**.**%2F


用同样的账号登录

[email protected]**.**.**.**
123456


然后登录成功 主界面

主界面2.png


主界面1.png


POC

登录成功后可以看到超大量的交易订单 工商信息 交易报告
泄露了企业的各种详细信息 甚至身份证号码 电话 姓名 银行卡号等 这要是被黑产拿到危害可大了
3600多页的交易订单

3600页交易订单.png


2100多页的工商信息

2100页工商信息.png


5100多页的关系验证记录

5100页.png


交易报告

交易报告440页.png


数据非常敏感

敏感1.png


敏感2.png


敏感3.png


工商详细.png


另外一处 同样是无验证码 弱口令爆破

http://**.**.**.**/


burp.png


爆破成功.png


密码均为123456

Payload								Status	Length
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234
[email protected]**.**.**.** 200 234


成功登录订餐系统

登录成功-点餐.png

修复方案

1、数据量超级巨大 望重视 望早点修复
2、提高员工安全意识

状态信息 2016-06-01: 细节已通知厂商并且等待厂商处理中
2016-06-03: 厂商已经确认,细节仅向厂商公开
2016-06-13: 细节向核心白帽子及相关领域专家公开
2016-06-23: 细节向普通白帽子公开
2016-07-03: 细节向实习白帽子公开
2016-07-18: 细节向公众公开
厂商回复漏洞重复,CNVD不在重复处置。
回应信息危害等级:中漏洞Rank:7 确认时间:2016-06-03 10:16