某大型第三方支付機構賬戶體系控制不嚴導致的血案（影響企業金融信息）

影響到超大量交易訂單 工商信息 交易報告 故評高

首先是這個站點

http://**.**.**.**/login

沒有驗證碼， 弱口令爆破 爆出一個賬戶

zhongfh@**.**.**.**

123456

然后登錄 結果這系統太奇葩

登錄后啥都沒有也是醉= =

只能放棄了

找到另外一個子域名

https://zhangdan.**.**.**.**/sessions/new?service=http%3A%2F%2Fzhangdan.**.**.**.**%2F

用同樣的賬號登錄

zhongfh@**.**.**.**

123456

然后登錄成功 主界面

登錄成功后可以看到超大量的交易訂單 工商信息 交易報告

泄露了企業的各種詳細信息 甚至身份證號碼 電話 姓名 銀行卡號等 這要是被黑產拿到危害可大了

3600多頁的交易訂單

2100多頁的工商信息

5100多頁的關系驗證記錄

交易報告

數據非常敏感

另外一處 同樣是無驗證碼 弱口令爆破

http://**.**.**.**/

密碼均為123456

PayloadStatusLength

hr@**.**.**.**200234

humin@**.**.**.**200234

lujiani@**.**.**.**200234

masuxia@**.**.**.**200234

shizq@**.**.**.**200234

tongan@**.**.**.**200234

xieli@**.**.**.**200234

yuchangyan@**.**.**.**200234

zhangjt@**.**.**.**200234

成功登錄訂餐系統

解決方案：

1、數據量超級巨大 望重視 望早點修復

2、提高員工安全意識