漏洞详情

披露状态:

2015-08-05: 细节已通知厂商并且等待厂商处理中
2015-08-10: 厂商已经确认,细节仅向厂商公开
2015-08-20: 细节向核心白帽子及相关领域专家公开
2015-08-30: 细节向普通白帽子公开
2015-09-09: 细节向实习白帽子公开
2015-09-24: 细节向公众公开

简要描述:

国泰君安某站SQL注射漏洞(泄漏预约人开户姓名手机邮箱)

详细说明:

注入点:

http://zjkh.gtja.com/kf/homepage.aspx?cid=013606 (好漂亮的妹纸)


1.jpg


db权限 执行不了cmd差异备份也失败 然后就找到后台 进后台发现也拿不到shell

后台地址:http://zjkh.gtja.com/kf/manage/login.aspx


2.jpg


预约开户人:

3.jpg

漏洞证明:

关于预约开户人的信息被泄露有什么危害我想到个段子↓

骗子:喂!您好,我是国泰君安杭州庆春路营业部的客户经理,请问是XXX先生吗?
开户人:嗯,是的!
骗子:恩是这样的,因为这几天预约开户的人实在太多了,我们看预约时间排下来您开户的问题可能要再过几天才轮到帮您办理,实在不好意思!
开户人:有的人说会很急,有的人会说不急的!(不急的话1,急的话2)
骗子:1.嗯,那我们这边尽快帮您处理!打扰了,再见!
2.如果先生您实在很急的话可以用手机自行开户,现在我们手机开户也是非常简单快捷的,如果您需要手机自行开户的话我等下会发一个客户端下载地址的信息给您!
开户人:嗯,那你发来吧!
骗子把钓鱼app客户端发送给开户人,如果开户人注册开户的话
那么开户人的网银号码密码什么的就...
当然你们会认为网银还有手机验证码 或者ukey
但是骗子可以把app做得跟国泰君安的差不多
当客户买入股票的时候那么就是骗子转账的时候了


以上纯属意淫,毕竟骗子比我聪明多了。

修复方案:

-_-!

标签: none

评论已关闭