【大发时时彩官方下载】某千亿级P2P漏洞百出

  • 时间:
  • 浏览:0
  • 来源:大发5分11选5-极速5分6合-急速5分3D

某千亿级P2P漏洞百出

  • 2016/4/12 15:11:08
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:

【电脑报在线】某号称是互联网金融2.0的、成交量累计超千亿元的P2P网站,最近被乌云网爆出多个安全漏洞,然而网站无视什么漏洞威胁,继续鼓吹“打造成全球最大的金融产品信息经纪运营商”,话说用户资料删改泄露真的从不紧吗?

某号称是互联网金融2.0的、成交量累计超千亿元的P2P网站,最近被乌云网爆出多个安全漏洞,然而网站无视什么漏洞威胁,继续鼓吹“打造成全球最大的金融产品信息经纪运营商”,话说用户资料删改泄露真的从不紧吗?

技术分析

白帽子   路人甲:一次偶然的原应分析,注册了某P2P网站,随手做了有有三个 安全监测,在找回密码页面https://www.***.com/view/html/user/forgetPassword.shtml,随意输入有有三个 密码提交,同时用黑客工具抓包,看一遍fail,这原应分析找回密码失败,原应分析将fail改成success呢,就还可以设置新密码了,也要是还可以旧密码就还可以设置新密码。

修改成success

用这个 法律法律依据,有时候知道用户名就还可以登录该用户的账号,拥有操作该账号的删改权限。为什知道用户名呢?简单!有时候在扫描黑客工具中输入https://www.***.com/web/user/valid/userInformation?uid=%27and(select%201%20from(select%20count(*),concat((select%20concat(CHAR(52),CHAR(67),CHAR(117),CHAR(90),CHAR(77),CHAR(108),CHAR(117),CHAR(102),CHAR(110),CHAR(56),CHAR(119))%20from%20information_schema.tables%20limit%100,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)and,就还可以看一遍该网站的数据库,顶端有十来万用户的基本数据。

数据库中保护十几万会员的人及隐私

读者点评

@三月轻愁:黑市中以前的账号好像是10元有有三个 ,感觉身旁一堆金币!

@冰喵RTP:数据库早就被拖库了,听说主站资料都被人备份了,以前做P2P理财网站也是醉了!

本文出自2016-04-11出版的《电脑报》2016年第14期 A.新闻周刊 (网站编辑:ChengJY)

发表给力评论!看新闻,说两句。

匿名 ctrl+enter快捷提交

网站地图 | 版权声明 | 业务合作协议协议 | 感情的说说链接 | 关于我们 | 招聘信息

报纸客服电话:1006677866 报纸客服信箱:pcw-advice@vip.sina.com 感情的说说链接与合作协议协议:987349267(QQ) 广告与活动:671009(QQ) 网站联系信箱:cpcw@cpcwi.com

Copyright © 1006-2011 电脑报官方网站 版权所有 渝ICP备1009040号