今天看啥
热点:

银泰商业某系统设计缺陷导致近6W供应商财务信息泄漏\任意操作任意商户\任意文件上传


rt

http://122.224.218.142:7070/supplier/jsp/index.jsp

银泰百货供应商网上对账平台
 

10.png


任意用户名字,任意密码

返回包,改成true
 

11.png


里面有关于i融平台,下载说明的pdf
 

12.png


里面有注册步骤说明,
 

13.png


跟着填写对应信息,
 

14.png


成功注册了一个帐号
 

15.png

i融平台地址

http://irou.intime.com.cn:8380/supplier/jsp/main.jsp
 

16.png



对应功能

在基础信息查看时,修改商户id,就是这个修改商户id,造成了可以操作任意商户账户
 

17.png



先看看商户的基础信息
 

18.png


 

19.png


 

20.png


 

21.png


 

22.png


59000多商户的信息,利用id修改,可越权操作59000多商户的账户

供应商月度对账
 

23.png

 

24.png

 

25.png

26.png

 

27.png


供应商销售对账
 

28.png

29.png

30.png


当日销售对账
 

31.png


融资申请处,任意文件上传
 

33.png

 

34.png

 

37.png


可以提前结款
 

35.png

 

36.png

解决方案:

权限控制。

www.bkjia.comtruehttp://www.bkjia.com/wzaq/1086729.htmlTechArticle银泰商业某系统设计缺陷导致近6W供应商财务信息泄漏\任意操作任意商户\任意文件上传 rt http://122.224.218.142:7070/supplier/jsp/index.jsp 银泰百货...

相关文章

    暂无相关文章
相关搜索:

帮客评论

视觉看点