神刀安全网

漏洞标题: 某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞详情

披露状态:

2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 细节向公众公开

简要描述:

全国数百万证券行业相关人员信息泄漏/可查各证券公司老总信息
泄漏信息包括姓名、工作单位、职位、身份证号、手机号、办公电话、邮箱、家庭住址、家庭电话、学历、工作经历、教育经历。培训老师信息也同时泄漏,证监会和上交所躺枪

详细说明:

只查了少量数量证明漏洞,没有拖库,不要查我的水表

中国证券业协会的这个网站有weblogic JAVA反序列化漏洞

code 区域
http://111.207.167.212

中国证券业协会的网站还有几个IP应该也是使用的weblogic中间件,但只提供了HTTP服务,无法利用JAVA反序列化漏洞

code 区域
124.127.51.156、124.127.51.175、111.207.167.219、124.127.51.169、111.207.167.211

上面提到的IP可能是修复漏了,赶快修复吧。

上面提到的IP有几个系统

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

连上服务器

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

连上数据库

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

800多个表

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

1000W万学员信息,吓死我了

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

姓名,身份证号

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

拿身份证号去重下,29W

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

又是学员信息,400W

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

姓名,工作单位,职位,身份证号,手机号,工作电话,邮箱

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

拿身份证号去重下,还是400W

工作经历

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

180W工作经历

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

又是工作经历

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

又有160W工作经历

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

人员信息,姓名,工作单位,职位,身份证号,手机号,邮箱,学历

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

110W人员信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

又是人员信息,姓名,工作单位,身份证号

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

又是150W人员信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

120W教育经历

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

这是证书信息么,有身份证号和证书号

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

73W

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

姓名,身份证号,手机号,办公电话,工作单位,职位,邮箱,家庭住址,家庭电话

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

84W人员信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

还有好多信息,不一一说明了,都是几十万数据量的,有身份证号或手机号等信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

还有一千家投资顾问公司的人员信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

培训老师的信息,有证监会和交易所的工作人员,信息包括姓名,工作单位,职位,身份证号,手机号,邮箱

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

251名老师

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

看看有多少证券公司董事长的信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

有这些公司的董事长信息

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

最后看看几大证券公司的董事长信息,都是年轻有为啊

漏洞标题:  某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

漏洞证明:

见详细说明

修复方案:

打补丁

可以参考:

修复weblogic的JAVA反序列化漏洞的多种方法

http://drops.wooyun.org/web/13470

版权声明:转载请注明来源 z_zz_zzz@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 某漏洞影响全国数百万证券行业相关人员信息/可查各证券公司老总信息

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址