当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103419

漏洞标题:盈盈理财XSS涉及几十亿融资资金流动和大量土豪客户信息(已入后台)

相关厂商:盈盈理财

漏洞作者: My.Dream

提交时间:2015-03-25 12:08

修复时间:2015-05-09 12:10

公开时间:2015-05-09 12:10

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

盈盈理财创始人和核心管理团队均来自于全球知名的第三方支付平台、银行、投资和风险管理机构,凭借团队及合作伙伴在互联网及金融领域的权威性和丰富经验积累,正在为越来越多的投资人提供了良好的产品服务体验和收益回报。
2014年,盈盈理财荣获“2014年互联网金融百强品牌”、“2014年互联网金融领域最具投资价值企业30强”、“2014中国年度创新成长企业100强”等备受业界肯定的重量级荣誉。

详细说明:

Screenshot_2015-03-24-12-44-41.png

Screenshot_2015-03-24-12-33-44.png

Screenshot_2015-03-24-12-39-57.png

Screenshot_2015-03-24-12-39-32.png

Screenshot_2015-03-24-12-50-10.png

Screenshot_2015-03-24-12-50-30_1427173010096.jpg

Screenshot_2015-03-24-12-51-02_1427172994757.jpg

漏洞证明:

在手机app的意见反馈处。土豪的个人信息真不少。不知道有没有礼物

修复方案:

过滤

版权声明:转载请注明来源 My.Dream@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:9 (WooYun评价)

漏洞评价:

评论

  1. 2015-03-24 15:18 | 小雨爱跑步 ( 路人 | Rank:10 漏洞数:1 | 专注移动设备及web安全)

    已复现

  2. 2015-05-09 14:52 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    这么快就进军到杭州了,速度真快啊

  3. 2015-05-12 15:40 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @小雨爱跑步 在么,交我一下,怎么弄的,我盲打的登不进去

  4. 2015-05-12 15:45 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @小雨爱跑步 您的qq是?交流下一啊

  5. 2015-05-12 16:22 | My.Dream ( 普通白帽子 | Rank:111 漏洞数:24 | 大神别打我)

    @sql小神 进不去很正常。。换个思路就好

  6. 2015-05-12 16:30 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    我没有盲打到你实例中的域名,我盲打到的是f.yingyinglicai.com的

  7. 2015-05-12 16:36 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @My.Dream 我没有盲打到你实例中的域名,我盲打到的是f.yingyinglicai.com 的

  8. 2015-05-12 16:47 | My.Dream ( 普通白帽子 | Rank:111 漏洞数:24 | 大神别打我)

    @sql小神 打偏了

  9. 2015-05-12 18:25 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @My.Dream 打center的,是吧