神刀安全网

漏洞标题: 国际大型期权公司鸿盛期权某两处系统漏洞导致可以修改购买的期权金额和种类

漏洞详情

披露状态:

2016-03-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国际大型期权公司鸿盛期权某两处系统漏洞导致可以修改购买的期权金额和种类,有100多类产品可以选择购买。危害相当巨大

详细说明:

存在漏洞的是鸿盛期权的两处后台管理系统,跟金融挂钩还这么不重视安全:

code 区域
http://14.215.133.167:8080/index.do   账号密码:admin/admin

code 区域
http://14.215.133.168:8080/index.do  账号密码:admin/admin123

公司主页地址为:

code 区域
http://14.215.133.167:8081/

两处漏洞都是后台管理系统,功能一样但是独立的两套系统,可以查看注册用户信息,购买的产品和金额,对金额和产品进行修改进行审核。两套系统的会员加起来共计1000多人吧,如果被黑产利用导致公司利益损失。

漏洞证明:

会员信息和金额等:

漏洞标题:  国际大型期权公司鸿盛期权某两处系统漏洞导致可以修改购买的期权金额和种类

可以对资金修改,右边有个额度调整

漏洞标题:  国际大型期权公司鸿盛期权某两处系统漏洞导致可以修改购买的期权金额和种类

修复方案:

安全意识

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 国际大型期权公司鸿盛期权某两处系统漏洞导致可以修改购买的期权金额和种类

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址