当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103952

漏洞标题:某大型P2P理财网站某处漏洞导致将近80W会员存在隐患

相关厂商:nonobank.com

漏洞作者: Ch丶0nly

提交时间:2015-03-26 22:55

修复时间:2015-03-26 23:04

公开时间:2015-03-26 23:04

漏洞类型:后台弱口令

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-26: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-03-26: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

某大型P2P理财网站某处漏洞导致将近80W会员存在隐患

详细说明:

上海诺诺镑客金融信息服务有限公司(nonobank.com)成立于2009年,是国内成立时间最长的互联网金融信息服务平台之一。
上海诺诺镑客金融信息服务有限公司在借贷信息的收集、验证、整理、发布、对接、分析等方面,以及通过第三方合作(银行、第三方支付公司)对借贷资金的核算、结算、支付等方面,为借贷双方提供一站式金融信息服务。

漏洞证明:

论坛创始人弱口令http://bbs.nonobank.com/uc_server
密码admin

1.jpg


1.jpg


define('UC_CONNECT', 'mysql');
define('UC_DBHOST', ‘172.16.0.77');
define('UC_DBUSER', 'nonobank');
define('UC_DBPW', 'nonobank!@#');
define('UC_DBNAME', 'ultrax');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`ultrax`.pre_ucenter_');
define('UC_DBCONNECT', '0');
define('UC_KEY', 'dcTeee89k4s8o3Kb9dv0oeR71aZ5Tek7k9qbK113zcJe86BdTc*******');(安全起见后面隐藏部分内容)
define('UC_API', 'http://bbs.nonobank.com/uc_server');
define('UC_CHARSET', 'utf-8');
define('UC_IP', '');
define('UC_APPID', '1');
define('UC_PPP', '20');

修复方案:

修复

版权声明:转载请注明来源 Ch丶0nly@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-03-26 22:58

厂商回复:

非常感谢你发现的问题。您的鞭策,我们才能提供更好的服务

最新状态:

2015-03-26:已经更改,感谢您的支持!

漏洞评价:

评论

  1. 2015-03-26 22:14 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    真有80W会员?NB!

  2. 2015-03-26 23:12 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    给诺诺的处理的速度及态度点个赞!

  3. 2015-03-26 23:26 | Mr.刺 ( 路人 | Rank:17 漏洞数:4 | 热爱网络,关注时事)

    毛线的站 全127.0.0.1 ip注册 或192.168注册 你确定有有用户?

  4. 2015-03-26 23:47 | Mr.刺 ( 路人 | Rank:17 漏洞数:4 | 热爱网络,关注时事)

    @秋风 没 只是存了三个uckey