漏洞概要
关注数(24)
关注此漏洞
漏洞标题:东方财富网某设计缺陷不严格导致可劫持部分用户(秒掉交易密码,看我如何完美劫持用户)
提交时间:2015-04-22 10:21
修复时间:2015-06-08 14:26
公开时间:2015-06-08 14:26
漏洞类型:应用配置错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开
简要描述:
东方财富网某逻辑参数不严格导致可劫持部分用户(测试成功,看我如何完美劫持用户)
框架短时间无任何作用了
详细说明:
inurl:fund.eastmoney.com/?pwd、
随便打开1个
http://fund.eastmoney.com/?uname=331081198708159423&pwd=Sqq@2014
用户名与密码全部出来了
登录看
再换其他1个
http://fund.eastmoney.com/?uname=15098811062&pwd=714098amanda
又进去了
就不一一演示了。都懂的
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-04-24 14:24
厂商回复:
已有重复内容
http://wooyun.org/bugs/wooyun-2015-
最新状态:
暂无
漏洞评价:
评论
-
2015-04-22 10:25 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2015-04-22 12:24 |
hack_lan ( 路人 | Rank:4 漏洞数:3 | 爱好linux开源架构,安全,python)
-
2015-04-22 12:27 |
0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)
-
2015-04-22 13:41 |
0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)
-
2015-04-23 16:48 |
你大爷在此 百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们 大家好 我是王尼玛)
-
2015-04-23 16:51 |
0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)
@你大爷在此 百无禁忌 不知道。这是你的小号还是大号
-
2015-04-23 16:53 |
你大爷在此 百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们 大家好 我是王尼玛)
-
2015-04-23 16:56 |
0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)
-
2015-04-23 17:00 |
你大爷在此 百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们 大家好 我是王尼玛)
-
2015-04-23 17:01 |
0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)
-
2015-04-23 19:13 |
zhangsan ( 路人 | Rank:4 漏洞数:1 | http://www.zhangsan.me)
@你大爷在此 @0x 80 是一个洞。一模一样的。不过@0x 80的标题有点吓人了
-
2015-04-24 18:05 |
0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)
-
2015-07-08 15:58 |
你大爷在此 百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们 大家好 我是王尼玛)
