当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095231

漏洞标题:微付通支付平台安全漏洞可导致数据库泄漏(用户密码竟然明文存储)

相关厂商:微付通

漏洞作者: 军师

提交时间:2015-02-02 15:26

修复时间:2015-03-19 15:28

公开时间:2015-03-19 15:28

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-02: 细节已通知厂商并且等待厂商处理中
2015-02-06: 厂商已经确认,细节仅向厂商公开
2015-02-16: 细节向核心白帽子及相关领域专家公开
2015-02-26: 细节向普通白帽子公开
2015-03-08: 细节向实习白帽子公开
2015-03-19: 细节向公众公开

简要描述:

微付通支付平台安全漏洞可导致数据库泄漏(用户密码竟然明文存储)

详细说明:

通过网站根目录下载到网站的备份数据。

1.jpg


2.jpg


还原数据库发现全是明文密码。。。。真无语。

111.jpg


随机登陆个账号

4.jpg


漏洞证明:

通过网站根目录下载到网站的备份数据。

1.jpg


2.jpg


还原数据库发现全是明文密码。。。。真无语。

111.jpg


随机登陆个账号

4.jpg


修复方案:

你们最了解。

版权声明:转载请注明来源 军师@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-02-06 10:10

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式(或以往建立的处置渠道)向网站管理单位(软件生产厂商)通报。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-02-02 15:28 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    不知道属于金融支付类企业不,直接就接触钱竟然还明文存密码。。。

  2. 2015-02-02 15:28 | losthacker ( 路人 | Rank:12 漏洞数:1 | 我是好人 (PS:为什么...)

    不得不给厂商赞,你们觉得呢?

  3. 2015-02-02 15:35 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    前排

  4. 2015-02-02 16:15 | onpu ( 实习白帽子 | Rank:64 漏洞数:19 | 静坐常思己过,闲谈莫论人非)

    不得不赞

  5. 2015-02-02 16:22 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    其实有的叫支付的,也不一定是通过了国家审核的吧?

  6. 2015-02-02 19:07 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    沙发

  7. 2015-02-02 21:38 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @疯狗 肯定是啊。。 不知道银监会也不管管

  8. 2015-02-02 22:31 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    明文……NB!

  9. 2015-02-02 23:22 | 空格 ( 路人 | Rank:6 漏洞数:3 | 呃?)

    明文- -醉了,现在最次的存储也是MD5啊。。微付通竟然明文,是在炫耀自己的安全NB吗- -

  10. 2015-02-06 10:28 | Wangl ( 实习白帽子 | Rank:33 漏洞数:4 | 新浪支付,值得拥有)

    这是第三方支付?很好奇是怎么拿到支付牌照的?

  11. 2015-02-06 10:54 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    看成财付通了!

  12. 2015-03-20 14:11 | me1ody ( 路人 | Rank:26 漏洞数:15 | 乌云临时工)

    好多123456

  13. 2015-03-20 15:13 | 渚熏 ( 路人 | Rank:10 漏洞数:4 | interesting.)

    恐怖故事

  14. 2015-03-20 18:41 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    看完百度百科的对这个产品的介绍,看完,直接瞎了