当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-01609

漏洞标题:易宝支付企业用户资料泄露

相关厂商:易宝支付

漏洞作者: piaoye

提交时间:2011-03-16 17:29

修复时间:2011-04-15 18:00

公开时间:2011-04-15 18:00

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-03-16: 细节已通知厂商并且等待厂商处理中
2011-03-17: 厂商已经确认,细节仅向厂商公开
2011-03-27: 细节向核心白帽子及相关领域专家公开
2011-04-06: 细节向普通白帽子公开
2011-04-16: 细节向实习白帽子公开
2011-04-15: 细节向公众公开

简要描述:

可以获取所有使用易宝支付的企业信息,利用这些信息可以YY很多....有money的哦...

详细说明:

易宝支付(YeePay.com ) 是中国领先的独立第三方支付平台,2003年8月由北京通融通信息技术有限公司创建。易宝支付自运营以来,致力于为广大商家和消费者提供“安全、简单、快乐”的专业电子支付解决方案和服务。
bug文件:/selfservice/toNewCreateBankCardInfo!photoView.jsp
bug说明:验证是否为空cookie,即可读取用户上传身份证,企业营业执照信息
方法:随便去注册个用户,直接打开http://www.yeepay.com/selfservice/toNewCreateBankCardInfo!photoView.action?pid=186 页面,pid值为自定义下,回车。
问题很多,这个就先换个wooyun邀请码吧,稍后发布此商致命0day
麻烦邀请码发:xb@usa.com 谢谢下!

漏洞证明:


麻烦邀请码发:xb@usa.com 谢谢下!

修复方案:

修复嘛可要改得多了,别跨省我。我不会修。

版权声明:转载请注明来源 piaoye@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2011-03-17 23:13

厂商回复:

感谢piaoye的建议,该漏洞已经确认,并已安排人手进行整改;piaoye提到还发现我们网站有其他漏洞,请不吝告知,谢谢。
感谢wooyun提供了一个好平台,帮助我们网站发现漏洞,提升平台安全。

最新状态:

2011-03-18:整改完成


漏洞评价:

评论

  1. 2011-03-17 12:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    图片是亮点

  2. 2011-03-17 13:43 | kEvin1986 ( 普通白帽子 | Rank:102 漏洞数:6 | $ ? #)

    我草...图片也未免太NB了点吧..... !!!!!!!!

  3. 2011-03-17 15:08 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    捧场

  4. 2011-03-17 22:04 | 左右 ( 路人 | Rank:23 漏洞数:3 | 左右 ? 左. : 右.)

    真相啊

  5. 2011-03-18 10:57 | Eric ( 路人 | Rank:1 漏洞数:1 | 网络技术爱好者。)

    ?图片看不到。

  6. 2011-03-18 18:25 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    原来都可以偷窥...

  7. 2011-03-21 19:43 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    经测试,厂方已经完全修复.各大牛就别踩点了!

  8. 2011-03-23 17:21 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)

    一楼二楼都是牛淫 求开权限偷窥.....

  9. 2011-03-31 14:04 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    楼主骗人啊~~~ 其他漏洞呢

  10. 2011-04-03 10:05 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    被河蟹了。。。你懂的。

  11. 2011-04-16 10:04 | xDo ( 实习白帽子 | Rank:39 漏洞数:10 | …对那飘过的浮云说声我想你…)

    你的邮箱好神气