当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0166576

漏洞标题:各大自动发卡平台无需权限查看卡密以及交易信息

相关厂商:各大自动发卡平台

漏洞作者: 蜡笔、

提交时间:2016-01-01 17:22

修复时间:2016-02-22 20:58

公开时间:2016-02-22 20:58

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-01: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

利用自动发卡平台网页漏洞获取卡密等交易信息,大家都懂的,在线发卡是卖G等东西必备的交易平台。可以利用网页漏洞进行查看。通杀一切发卡平台!通杀一切发卡平台!通杀一切发卡平台!重要的事情说三遍

详细说明:

(QE@~NTRHPB$HUP83FF_~U0.png

KCIRFQ407074V(NZ9BC5H]V.png

2TA[D2~ZD9T`}N~~AAN2WZI.png

利用自动发卡平台网页漏洞获取卡密等交易信息。可以利用网页漏洞进行查看。通杀一切发卡平台!所有的!发卡平台自行百度。全部通杀。
在联系方式里面可以输入0到9或者a到z的字符
能获取成功很多的卡密,有各种网盘账号密码游戏账号会员账号充值卡外挂激活码等等,里边的东西也是不计其数,各种辅助外挂以及H等等……我只是略微看了看,这东西放在各位手里能有大用处吧?

漏洞证明:

I6{(3H68KL[28_VKREX]@4X.png

@IE0[N@VNJS%TFG5SVAV$)J.png

修复方案:

建议重做逻辑算法= =暴露太多
订单查看权限应该减小
因为所有平台都是一个网站源码。

版权声明:转载请注明来源 蜡笔、@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-01-08 21:01

厂商回复:

CNVD确认所述漏洞情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-01 17:51 | 栗子 ( 路人 | Rank:4 漏洞数:4 | 非要输入么?那就让我凑够十五字)

    好像很厉害的样子。

  2. 2016-01-01 18:00 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    1乌币私聊

  3. 2016-01-01 19:00 | 蜡笔、 ( 路人 | Rank:8 漏洞数:1 | 平凡、简单,在生活中寻找人生最终的答案。)

    @Mieless

  4. 2016-01-01 19:07 | _yixin ( 路人 | Rank:0 漏洞数:1 | 这网站他妈的稀巴烂)

    @蜡笔 我也要

  5. 2016-01-01 19:18 | 隔壁老三 ( 实习白帽子 | Rank:62 漏洞数:19 | 找工作啊啊啊啊啊)

    5乌币私聊

  6. 2016-01-01 19:40 | 洛熠宸 ( 路人 | Rank:0 漏洞数:1 | 1+1=2 2+2=4 4+4=8 8+8=16 16+16=32 32+32=...)

    @_yixin 我也要

  7. 2016-01-01 19:45 | 陆由乙 ( 普通白帽子 | Rank:405 漏洞数:99 | 呵呵!)

    。。。。好久没玩游戏了。

  8. 2016-01-01 19:50 | 浮世浮城 ( 普通白帽子 | Rank:825 漏洞数:146 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    2WB私聊

  9. 2016-01-01 20:12 | 沙漠 ( 路人 | Rank:4 漏洞数:3 | 没有介绍)

    坐等公开

  10. 2016-01-01 20:27 | onpu ( 普通白帽子 | Rank:167 漏洞数:37 )

    坐等公开

  11. 2016-01-01 20:33 | 路人毛 ( 实习白帽子 | Rank:64 漏洞数:25 | ../)

    30WB私聊

  12. 2016-01-01 20:33 | orange ( 普通白帽子 | Rank:239 漏洞数:50 | 多乌云多机会)

    这个应该是交易完的吧,之前也发现过

  13. 2016-01-01 22:52 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    在查询卡号那里点通过联系方式查询 然后输入 123 123456 111之类的你就能得到一大堆卡号~

  14. 2016-01-01 22:53 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    @金馆长 用这个方法拿到了很多百度云资源号 hhh

  15. 2016-01-01 23:33 | 斋家奇神 ( 路人 | Rank:2 漏洞数:1 | ?)

  16. 2016-01-02 08:06 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    666

  17. 2016-01-08 22:03 | Dusk ( 路人 | Rank:1 漏洞数:1 )

    卧槽 求私聊

  18. 2016-01-11 00:00 | DeadSea ( 实习白帽子 | Rank:86 漏洞数:28 | 静心)

    @蜡笔、 100WB 求私聊~

  19. 2016-01-13 03:34 | 蜡笔、 ( 路人 | Rank:8 漏洞数:1 | 平凡、简单,在生活中寻找人生最终的答案。)

    也是够6@DeadSea

  20. 2016-01-18 22:26 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1296 漏洞数:131 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    测试无效

  21. 2016-01-18 22:29 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1296 漏洞数:131 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    只有一家 也就是证明的那家有效 其他均无效

  22. 2016-01-20 16:56 | 蜡笔、 ( 路人 | Rank:8 漏洞数:1 | 平凡、简单,在生活中寻找人生最终的答案。)

    @子非海绵宝宝 百度能搜到的全部都可以,无效的话要么是修复了要么是操作不对。

  23. 2016-01-20 21:07 | 苦咖啡 ( 实习白帽子 | Rank:59 漏洞数:11 | 我就一菜逼,来看大牛装逼的)

    @子非海绵宝宝 基本全部都可以得 但是这些信息全部是别人已经充值了的 好像没什么用