漏洞概要
关注数(24)
关注此漏洞
漏洞标题:优信二手车过户管理系统SQL注入(泄露大量车主信息及身份证正反面照片)
提交时间:2015-11-03 17:05
修复时间:2015-12-19 17:52
公开时间:2015-12-19 17:52
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-11-03: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经确认,细节仅向厂商公开
2015-11-14: 细节向核心白帽子及相关领域专家公开
2015-11-24: 细节向普通白帽子公开
2015-12-04: 细节向实习白帽子公开
2015-12-19: 细节向公众公开
简要描述:
大量车主信息(姓名/手机/车牌号/合同/身份证正反面照片)
详细说明:
地址 http://wbgh.youxinpai.com/login/
与前面提交的http://wooyun.org/bugs/wooyun-2010-0149556 目测使用的同一套程序
获取数据库
密码都是弱口令,解密后为6个0
随便登录一个 用户名 jinanwb 密码 000000
登录后也存在SQL注入
大量合同
大量订单
订单详情
高清身份证照片
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-11-04 17:50
厂商回复:
非常感谢您的关注和反馈!
最新状态:
暂无
漏洞评价:
评论
-
2015-11-04 18:06 |
hecate ( 普通白帽子 | Rank:569 漏洞数:89 | ®高级安全工程师 | WooYun认证√)