漏洞盒子八月“互联网漏洞之星”

2015-09-16 335952人围观 ,发现 9 个不明物体 活动漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

在这个已经过去的八月里,漏洞盒子的众多白帽子们依旧在顶着酷暑高温,接力赛一般地寻找着每一个厂商的安全隐患,与此同时,让我们感到高兴和充满成就感的是:高质量的互联网漏洞不断被挖掘出来,这些漏洞的发现和修复,又为众多企业的互联网产品降低了安全风险。

八月“漏洞之星”

经漏洞盒子评审组评定,以下10个漏洞当选为八月份“漏洞之星”,详情如下(排名不分先后):

· 漏洞标题:车易保接口可遍历导致泄露大量用户信息,手机号,QQ号,车牌号,车架号,发送机号等

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010322

  提交者:Wenjian_tk0

· 漏洞标题:PICC中国人民保险官网存在高危漏洞/泄露PICC所有客户

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010711

  提交者:匿名者

· 漏洞标题:巨人网络某站存在高危SQL注入漏洞

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010618

  提交者:匿名者

· 漏洞标题:艾迪康检验信息系统(通用系统)后台登录绕过(涉及全国20多个省级中心)

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010587

  提交者:匿名者

· 漏洞标题:微翼公众号服务平台SQL注入,可能导致可控制多个运营商、电视台微信公众平台被控制

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010027

  提交者:匿名者 

· 漏洞标题:赶集网某系统逻辑缺陷导致越权查看房屋经纪人信息(姓名+身份证号+证件照)涉及约150W

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-09894

  提交者:匿名者

· 漏洞标题:太原市住房公积金公众服务系统越权访问导致海量敏感信息泄露(身份证号、银行卡号、工作单位、月缴金额、公积金余额等)

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-09868

  提交者:一枚小屌丝

· 漏洞标题:管家帮某处存在漏洞可泄露大量内部敏感信息并getshell

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010208

  提交者:匿名者

· 漏洞标题:国元信托某oa系统存在漏洞,可进一步危害内网

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-09904

  提交者:匿名者

· 漏洞标题:掌门APP存在多处逻辑漏洞,可重置任意用户密码,可泄露用户信息

  漏洞URL:https://www.vulbox.com/bugs/vulbox-2015-010337

  提交者:匿名者

中奖者名单统计如下:一枚小屌丝、h1ck5r、Wenjian_tk0、helloboy、nandisec、放开那头牛、luckier、cnRay、gl1987807、倒斗大师。为了感谢这些白帽子们在八月最热天的辛苦的挖洞工作,漏洞盒子特意为为入选的白帽子们送上抗疲劳提能量利器,每人一打!

漏洞盒子一直致力于为国内网络安全领域带来力所能及的正能量,传递真正的黑客与极客精神。我们欢迎更多的白帽子加入,我们一起为中国互联网的健康良性发展努力;同时也欢迎更多的企业进驻,我们和分布在世界各处的白帽子们一起为你的产品安全保驾护航。

*作者/漏洞盒子,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

更多精彩

这些评论亮了

发表评论

已有 9 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php