授权测试四川某P2P金融公司

3‘server

此次授权获得该公司认可

第一时间先查看ip信息
发现是阿里云（阿里云服务器防扫的）所以放弃使用扫描软件
-----------------------------------------------------------------------------------------------

http://www.xxxxxx.com/
四川摸摸P2P金融公司
漏洞第一处：2&id=422
这一处存在sql注入，由于贵方服务器是阿里云（阿里云默认开启了waf）要想绕过waf既可以实现注入，
所以这处漏洞对我比较鸡勒。
漏洞第二处：/UsersCenter/Index.aspx
该地方存在上传图片信息：利用burp上传抓包改包既可以绕过服务器验证上传脚本
控制服务器
漏洞利用证明：diandaoweizhi.txt

此次漏洞测试为高
Sql注入，前台用户getshell
安全修复建议
1.        给sqlserver数据库sa用户降权
2.        严格控制上传点，可以利用图床二次渲染达到欺骗黑客上传恶意脚本。
3.        利用服务器在上传文件输出点进行脚本文件控制，asp，aspx，php，jsp，jspx进行403权限设置，这样即使黑客上传绕过本地验证和服务器验证，也没用权限运行脚本木马。
由衷感谢：四川摸摸P2P金融公司信息技术有限公司能给于我们这次测试，我相信贵公司在安全的道路上越走越好。
安全周刊希望为国内网络安全领域带来一抹正能量，传递真正的黑客与极客精神。
我不怎么能言善变这次渗透在家里后来去公司给写了这份报告给对方公司，这次检测没有靓点，没有什么图来证明，
并不是有意宣传我的博客，我也是08sec的一份子，希望管理大大能给个友情链接


                           
                               安全周刊_security weekly http://i.szxxly.cn   

90_

我觉得还可以进一步渗透

3‘server

90_ 发表于 2016-7-22 11:06
我觉得还可以进一步渗透

服务器也提下了，但是当时弹的是 点到为止所以没有升入

90_

3‘server 发表于 2016-7-22 11:43
服务器也提下了，但是当时弹的是 点到为止所以没有升入

再写详细点吧，说不定把你这个文章写入到这期的《红客焦点》里呢

3‘server

90_ 发表于 2016-7-22 13:23
再写详细点吧，说不定把你这个文章写入到这期的《红客焦点》里呢

我感觉金融公司涉及的都是投资人的钱万一那个地方打码不严格，泄露了那事情可能有点严重

porry

没有过程的帖子就是装逼

大良造

不错，学习了

xiaohuimc

你的马赛克打的真好  www.sctdcoin.com

Whysec

这报告就能过关了?