当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146449

漏洞标题:P2P安全之小牛在线某系统逻辑设计缺陷可撞库(账号证明)

相关厂商:xiaoniu88.com

漏洞作者: 路人甲

提交时间:2015-10-28 01:27

修复时间:2015-11-10 16:59

公开时间:2015-11-10 16:59

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-28: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-10: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

...

详细说明:

小牛在线

小牛在线是小牛资本管理集团旗下互联网金融平台,于2013年6月正式上线,现由深圳市小牛在线互联网信息咨询有限公司运营。平台核心成员均有在国内外知名的银行、证券、基金、互联网、电子商务等企业服务的经历,积累了丰富的互联网金融相关经验。其母公司深圳市小牛互联网金融服务有限公司,于2014年11月顺利完成增资行为,现注册资本为1亿元人民币。


http://oa2.xiaoniu66.com:5081/login.jsp
http://oa1.xiaoniu66.com:7890/easoa/themes/mskin/login/login.jsp


burp下:

7	lijing	xiaoniu88	200	false	false	2951	
16	liqiang	xiaoniu88	200	false	false	2951	
33	wangtao	xiaoniu88	200	false	false	2951	
25	lijie	xiaoniu88	200	false	false	2951	
30	wangjun	xiaoniu88	200	false	false	2951	
28	wangqiang	xiaoniu88	200	false	false	2951	
57	liuyong	xiaoniu88	200	false	false	2951	
78	zhangpeng	xiaoniu88	200	false	false	2951	
81	wangling	xiaoniu88	200	false	false	2951	
85	zhangyulan	xiaoniu88	200	false	false	2951	
88	liuqiang	xiaoniu88	200	false	false	2951	
92	limei	xiaoniu88	200	false	false	2951	
99	wangxia	xiaoniu88	200	false	false	2951	
107	liujuan	xiaoniu88	200	false	false	2951	
109	wanghao	xiaoniu88	200	false	false	2951	
119	zhangbo	xiaoniu88	200	false	false	2951	
135	yangfan	xiaoniu88	200	false	false	2951	
138	lixue	xiaoniu88	200	false	false	2951	
142	liuyulan	xiaoniu88	200	false	false	2951	
145	zhanghao	xiaoniu88	200	false	false	2951	
151	wangshuai	xiaoniu88	200	false	false	2951	
155	zhangxu	xiaoniu88	200	false	false	2951	
161	wangjun	xiaoniu88	200	false	false	2951	
163	liubin	xiaoniu88	200	false	false	2951	
165	wangting	xiaoniu88	200	false	false	2951	
166	chentao	xiaoniu88	200	false	false	2951	
179	wanglin	xiaoniu88	200	false	false	2951	
183	chenhao	xiaoniu88	200	false	false	2951	
194	chengang	xiaoniu88	200	false	false	2951	
202	lihongmei	xiaoniu88	200	false	false	2951	
206	liupeng	xiaoniu88	200	false	false	2951	
207	wangxu	xiaoniu88	200	false	false	2951	
209	liyang	xiaoniu88	200	false	false	2951	
215	liuping	xiaoniu88	200	false	false	2951	
217	lifei	xiaoniu88	200	false	false	2951	
222	chenling	xiaoniu88	200	false	false	2951	
229	liyang	xiaoniu88	200	false	false	2951	
230	chenqiang	xiaoniu88	200	false	false	2951	
227	lijian	xiaoniu88	200	false	false	2951	
234	chenchao	xiaoniu88	200	false	false	2951	
237	wangqin	xiaoniu88	200	false	false	2951	
240	liuchang	xiaoniu88	200	false	false	2951	
245	liyun	xiaoniu88	200	false	false	2951	
249	liuping	xiaoniu88	200	false	false	2951	
253	zhangmei	xiaoniu88	200	false	false	2951	
262	gaofeng	xiaoniu88	200	false	false	2951	
265	chenhua	xiaoniu88	200	false	false	2951	
268	yangliu	xiaoniu88	200	false	false	2951	
233	zhangyuzhen	xiaoniu88	200	false	false	2951	
278	lidongmei	xiaoniu88	200	false	false	2951	
283	wangfeng	xiaoniu88	200	false	false	2951	
286	liqin	xiaoniu88	200	false	false	2951	
290	liufei	xiaoniu88	200	false	false	2951	
294	lihao	xiaoniu88	200	false	false	2951	
296	zhangdan	xiaoniu88	200	false	false	2951	
305	zhangtingting	xiaoniu88	200	false	false	2951	
307	wangtingting	xiaoniu88	200	false	false	2951	
314	chenxia	xiaoniu88	200	false	false	2951	
324	wanglin	xiaoniu88	200	false	false	2951	
327	yangwei	xiaoniu88	200	false	false	2951	
329	wanglong	xiaoniu88	200	false	false	2951	
337	lixuemei	xiaoniu88	200	false	false	2951	
339	zhanghaiyan	xiaoniu88	200	false	false	2951	
341	lizhiqiang	xiaoniu88	200	false	false	2951	
342	yanglei	xiaoniu88	200	false	false	2951	
343	lijing	xiaoniu88	200	false	false	2951	
347	wanglili	xiaoniu88	200	false	false	2951	
349	chenyun	xiaoniu88	200	false	false	2951	
351	zhangguirong	xiaoniu88	200	false	false	2951	
358	zhangzhiqiang	xiaoniu88	200	false	false	2951	
370	wanghongmei	xiaoniu88	200	false	false	2951	
371	chenbin	xiaoniu88	200	false	false	2951	
382	zhouwei	xiaoniu88	200	false	false	2951	
405	mali	xiaoniu88	200	false	false	2951	
410	yangping	xiaoniu88	200	false	false	2951	
417	lijian	xiaoniu88	200	false	false	2951	
421	chenmei	xiaoniu88	200	false	false	2951	
423	liyang	xiaoniu88	200	false	false	2951	
425	wangdongmei	xiaoniu88	200	false	false	2951	
429	yangxue	xiaoniu88	200	false	false	2951	
435	zhangbo	xiaoniu88	200	false	false	2951	
442	yangjuan	xiaoniu88	200	false	false	2951	
450	chenyuying	xiaoniu88	200	false	false	2951	
453	zhaojun	xiaoniu88	200	false	false	2951	
454	zhaoyong	xiaoniu88	200	false	false	2951	
456	yangbin	xiaoniu88	200	false	false	2951	
466	liujianjun	xiaoniu88	200	false	false	2951	
468	lihongxia	xiaoniu88	200	false	false	2951	
474	wangjianping	xiaoniu88	200	false	false	2951	
477	zhouyong	xiaoniu88	200	false	false	2951	
483	xumin	xiaoniu88	200	false	false	2951	
492	zhouli	xiaoniu88	200	false	false	2951	
493	lishuhua	xiaoniu88	200	false	false	2951	
507	lijing	xiaoniu66	200	false	false	2951	
516	liqiang	xiaoniu66	200	false	false	2951	
525	lijie	xiaoniu66	200	false	false	2951	
528	wangqiang	xiaoniu66	200	false	false	2951	
530	wangjun	xiaoniu66	200	false	false	2951	
533	wangtao	xiaoniu66	200	false	false	2951	
557	liuyong	xiaoniu66	200	false	false	2951	
578	zhangpeng	xiaoniu66	200	false	false	2951	
581	wangling	xiaoniu66	200	false	false	2951	
585	zhangyulan	xiaoniu66	200	false	false	2951	
588	liuqiang	xiaoniu66	200	false	false	2951


0.jpg


1.jpg


ok

漏洞证明:

···

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-28 09:03

厂商回复:

非常感谢,此系统为小牛资本集团内部办公系统,已转交小牛资本集团技术人员处理。
小牛在线是小牛资本集团旗下平台,由深圳市小牛在线互联网信息咨询有限公司负责运营及维护,此漏洞不会导致小牛在线平台信息泄露。

最新状态:

2015-11-10:已完成修复,非常感谢。

漏洞评价:

评论