当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134850

漏洞标题:郑州银行某配置不当可致官网域名劫持

相关厂商:郑州银行

漏洞作者: 爱上平顶山

提交时间:2015-08-20 00:44

修复时间:2015-10-05 17:56

公开时间:2015-10-05 17:56

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-20: 细节已通知厂商并且等待厂商处理中
2015-08-21: 厂商已经确认,细节仅向厂商公开
2015-08-31: 细节向核心白帽子及相关领域专家公开
2015-09-10: 细节向普通白帽子公开
2015-09-20: 细节向实习白帽子公开
2015-10-05: 细节向公众公开

简要描述:

练手

详细说明:

郑州银行
http://www.zzbank.cn

Domain Name: zzbank.cn
ROID: 20080521s10001s85568180-cn
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registrant ID: ename_62n2eeod7v
Registrant: 郑州银行股份有限公司
Registrant Contact Email: hanbaohong@gmail.com
Sponsoring Registrar: 厦门易名科技有限公司(原厦门易名网络科技有限公司)
Name Server: dns1.iidns.com
Name Server: dns2.iidns.com
Name Server: dns3.iidns.com
Name Server: dns4.iidns.com
Name Server: dns5.iidns.com
Name Server: dns6.iidns.com
Registration Time: 2008-05-21 04:13:38
Expiration Time: 2020-05-21 04:13:38


查下数据:
hanbaohong@gmail.com 密码:auma****
已经知道域名注册商
然后试下:

0.jpg


1.jpg


ok 不能乱玩 提交了

漏洞证明:

···

修复方案:

加强安全

版权声明:转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-08-21 17:55

厂商回复:

CNVD确认所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-18 09:59 | anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老,学到老)

    河南的顶一个

  2. 2015-08-18 19:16 | 国士无双 ( 路人 | Rank:5 漏洞数:5 | 小伙伴都惊呆了...)

    @anting WooYun大河南分会 275366632 一起耍

  3. 2015-08-19 08:19 | anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老,学到老)

    @国士无双 ok

  4. 2015-09-06 20:32 | Master ( 实习白帽子 | Rank:33 漏洞数:10 )

    。。。。。