金融行业安全漏洞列表(近三个月)
行业 | 标题 | 编号 |
银行 | 建设银行多功能电子回单系统终端绕过 | |
互联网金融 | 绿麻雀p2p网贷系统两处sql注入 | |
银行 | 广州银行android客户端应用配置可绕过自签名验证 | |
互联网金融 | 某P2P网贷系统前台getshell与任意文件删除漏洞(可涉及大量资金安全) | |
互联网金融 | 尚贷p2p网贷系统前台getshell+两处sql注入(无视任何防御/无需登录) | |
互联网金融 | 融天下网贷系统 5处sql注入打包。(可涉及大量资金安全) | |
保险 | 保险安全之中国人寿某省公司又一处越权漏洞可导致所有员工姓名、手机等敏感信息 | |
保险 | 中银保险某系统问题已shell可内网 | |
互联网金融 | 好贷网上传Getshell导致总站+所有子站失守 | |
金融机构 | 万银财富某交易登录存在漏洞导致getshell泄漏大量信息可内网 | |
金融机构 | 上海国际信托有限公司某漏洞可入内网和访问内部系统 | |
保险 | 泛华保险某站存在SQL注入 | |
银行 | 安徽某银行重要系统设计缺陷存在爆破风险(后台涉及资金等敏感操作) | |
金融机构 | POS机行业巨头某支付漏洞(泄露上万商户信息/上亿资金流水/深入内网影响多个系统) | |
金融机构 | 青岛支付巨头存在SQL注射漏洞(可泄露上万青岛用户详细信息/随意伪造金额充值卡片/刷遍青岛) | |
金融机构 | 金融安全之天津股权交易所SQL注入可Union(1万多名会员密码明文存储/161私募基金信息/可重置管理员账号) | |
保险 | 保险安全之中国人寿某省一处SQL注入漏洞可导致十几万理赔信息/数万员工信息泄漏泄漏 | |
保险 | 中国人寿北京分公司某处命令执行导致getshell泄漏大量信息可内网 | |
保险 | 太平保险公司设计不当可泄露大量客户保单信息 | |
保险 | 富邦财险某系统SQL注入(16个敏感库设计14000+数据表) | |
保险 | 天安保险某系统存在任意文件上传&目录遍历漏洞 | |
保险 | 永安保险某保险卡站点设计不当存在任意文件下载漏洞 | |
银行 | 安徽某银行系统官网主站存在POST型SQL注入导致敏感数据泄露(已登录部分会员账户) | |
保险 | 锦泰保险官网存在越权访问漏洞可致车辆及车主信息泄露 | |
保险 | 天安保险某系统存在任意文件读取漏洞(疑似某通用理赔管理系统) | |
金融机构 | 金融安全之江苏股权交易中心SQL注入(涉及管理员账号/336家公司基金信息) | |
银行 | 徽商银行邮箱系统可暴力破解并且存在大量弱口令账户 | |
金融机构 | 银联商务某站存在SQL注入(涉及13库) | |
保险 | 中国人保财险某站存在任意文件读取漏洞 | |
金融机构 | 华鑫证券某站后台弱口令可getshell | |
金融机构 | POS机行业巨头第二发(依然泄露上万商户/配套大量系统/大量交易详情/ROOT又入内网) | |
金融机构 | 开源证券股份有限公司某站点任意文件下载到getshell | WooYun-2015-143461 |
保险 | 泰山保险某处配置不当导致getshell泄漏几十万保单等信息内网多台机器可渗透 | |
金融机构 | 上海股权托管交易中心综合金融服务平台任意文件下载(整站源码下载) | |
银行 | 广东南粤银行某商户平台配置不当导致getshell中国银行某分行躺枪 | |
金融机构 | 国元投资某系统多处漏洞导致getshell内网多台机器(绕过上传限制) | |
金融机构 | 新时代证券人力系统泄露员工简历信息/考勤打卡/家庭背景/身份证信息等 | |
金融机构 | 温州贷APP任意用户密码重置漏洞+支付密码重置 | |
金融机构 | 新浪金融旗下微钱包内部敏感信息泄漏 | |
保险 | 中英人寿保险有限公司某系统存在sql注入漏洞(js请求分析) | |
金融机构 | 南方联合产权交易中心SQL注入(泄露管理员账号密码/会员账号密码/2千多托管企业项目信息) | |
金融机构 | 国金证券账户体系控制不严可访问内网系统 | |
互联网金融 | 贷齐乐p2p系统存在任意命令执行漏洞 | |
金融机构 | 贷齐乐p2p全局问题多处注入(无视gpc/waf) | |
保险 | 平安保险分站存在sql注入 | |
银行 | 内蒙古某银行主站SQL注入(DBA权限&23库大量表) | |
银行 | 安徽某银行官网POST型SQL注入导致可泄露敏感信息(DBA权限) | |
金融机构 | 同花顺爱基金客户端之账户绑定银行卡信息越权查询 | |
银行 | 平安银行安全控件远程代码执行(附演示视频) | |
金融机构 | 众禄基金Android客户端存在越权查看账户交易信息和银行卡绑定信息漏洞 | |
互联网金融 | Dswjcms p2p网贷系统前台4处sql注入 | |
金融机构 | 东方证券旗下某站后台弱口令导致Getshell | |
金融机构 | 好利网P2P理财投资平台SQL注入漏洞 | |
银行 | 南京银行网银助手可导致远程代码执行 | WooYun-2015-146098 |
银行 | 内蒙古某地区银行系统安全隐患导致高危信息泄露(全市所有分行员工手机号/邮箱/住址/运钞车作息时间等等) | WooYun-2015-145488 |
保险 | 某省保险协会某系统大量敏感信息泄露(涉及几十个保险公司/手机邮箱/红头文件/财务报表等 | WooYun-2015-145522 |
金融机构 | 中邮证券某系统安全隐患导致大量敏感信息泄露(所有员工手机/邮箱/内部敏感文件等等) | |
银行 | 三个农商行一些漏洞打包 | |
金融机构 | 华融证券某分站敏感信息泄露导致进入后台(疑似可替换客户端软件) | |
银行 | 中银消费某系统多个账户弱口令(涉及大量内部敏感信息) | |
银行 | 中信银行某两站漏洞打包(弱口令/struts2/sql注入) | |
互联网金融 | 好贷网某站隐蔽SQL注入涉及一百多个表 | |
金融机构 | 证券安全之华融证券文件读取+商户信息泄露 | |
金融机构 | 国海证券某系统存在任意文件上传漏洞已Shell | |
金融机构 | 中信证券(山东)某站点SQL注入到内网渗透(引发大量信息泄露) | |
保险 | 中国人寿某站存在resin目录遍历漏洞导致内部多数据库信息泄露 | |
金融机构 | 国海证券某系统Getshell可影响内网安全(任意上传/大量敏感信息泄露等等) | |
金融机构 | 国联证券某站系统漏洞导致获取管理账户密码已入后台 | |
金融机构 | 中信证券某系统弱口令及SQL注入 | |
保险 | 吉祥人寿保险某站存在SQL注入漏洞 | |
互联网金融 | p2p之玖富某重要系统设计缺陷可重置任意账户密码可导致用户大量信息泄漏 | |
互联网金融 | 连连银通漏洞一枚(mail系统+Kibana系统+金眼追踪系统) | |
保险 | 浙商保险某系统运维修复不当导致大量保单资料泄漏 | |
保险 | 安华保险内部OA系统struts2命令执行漏洞(影响内网安全) | |
金融机构 | 中航证券某站存在远程命令执行漏洞(可Getshell获取数据库信息) | |
银行 | 多家地方银行网上银行助手缺陷可导致远程代码执行 | |
互联网金融 | 帝友P2P借货系统某处文件设计缺陷可注入(任意登录/修改密码) | |
金融机构 | 银联商务某关键业务GETSHELL | |
金融机构 | 证券安全之世纪证券Getshell可造成478175数据泄露 | |
金融机构 | 国元证券某系统上传漏洞导致GETSHELL(Admin权限可进一步内网渗透) | |
金融机构 | 华创证券某重要系统SQL注入 | |
互联网金融 | 借贷宝自动化测试平台未授权访问getshell可入其他公司内网 | |
互联网金融 | 东方融资网存在SQL注入漏洞 (DBA权限、17个数据库、10万笔会员、可GETSHELL) | |
保险 | 中国人保寿险某系统配置不当getshell(可进一步内网渗透) | |
金融机构 | 证券安全之民生证券内部系统信息泄露 | |
保险 | 中国人保财险分公司某系统泄露敏感信息 | |
互联网金融 | 好贷网APP存在SQL注入漏洞 | |
互联网金融 | 91金融安卓APP客户端升级过程存在缺陷可被中间人攻击利用植入木马 | |
保险 | 中国人寿某医生信息管理系统weblogic弱口令 | |
互联网金融 | 好贷网APP可绕过登陆任意用户(查看其借贷单据并执行操作) | |
银行 | 某地银行系统存在高危SQL注入漏洞 | |
互联网金融 | 好贷网可越权访问所有信贷经理的所有订单及客户信息(包括姓名、手机、借贷金额、房产等) | |
金融机构 | 民生信托报表系统弱口令getshell泄漏交易记录/姓名/手机等敏感信息 | |
银行 | 邮储银行Android客户端设计缺陷可能导致客户端用户密码泄漏 | |
保险 | 泰康人寿某系统存在sql注射漏洞 | |
保险 | 合众财产保险多网站存在命令执行漏洞可Getshell影响内网安全 | |
保险 | 泰康人寿某重要站点存在SQL注入漏洞(涉及29库上千表) | |
金融机构 | 中信证券某站XSS漏洞可打到后台 | |
互联网金融 | 好贷网APP多处SQL注入漏洞 | |
互联网金融 | 易宝支付某系统SQL注入漏洞 | |
互联网金融 | 好贷网注入绕过一枚(可union) | |
银行 | 招商银行某分站后台弱口令(涉及37000+用户) | |
金融机构 | 南方基金某系统从弱口令到getshell可威胁内网 | |
保险 | 中国人寿某内部管理平台后台管理弱口令涉及数万保险客户信息 | |
保险 | 太平洋保险某系统存在任意文件上传漏洞可威胁内网 | |
金融机构 | 西南证券某系统大量页面未授权访问导致进后台上传可威胁内网 | |
银行 | 可用最简单的办法进入吉林银行内网 | |
保险 | 某寿险业务系统存在通用型SQL注射漏洞(泰康/民生等) | |
互联网金融 | 好贷网某重要系统任意密码重置漏洞可影响账户资金安全(官方账号演示) | |
互联网金融 | 环迅支付某重要业务存在任意用户密码重置(18888888888演示) | |
银行 | 金融安全之长沙银行某站点配置不当导致Getshell(威胁内网安全) | |
金融机构 | 天治基金某系统弱口令Getshell可泄漏大量信息内网40多台机器可继续渗透 | |
保险 | 泛华保险某站存在多处OR延时注入(DBA权限+涉及19个users) | |
金融机构 | 东海证券某系统存在任意文件上传漏洞可威胁内网 | |
保险 | 中国太平批量保单可爆破泄露 | |
银行 | 工商银行某站存在SQL注入 | |
银行 | 湖北某农商行门户漏洞打包及shell一枚 | |
银行 | 交通银行某站SQL注入一枚 | |
金融机构 | 中航证券某系统2枚SQL注入及弱口令导致敏感信息泄露(时间盲注/DBA/员工手机邮箱/内部文件等等) | |
金融机构 | 中银国际证券某重要站点多处存在SQL注入(DBA权限+导致数据泄露) | |
金融机构 | 华创证券某重要系统设计缺陷可重置任意账户密码危急用户资金安全 | |
银行 | 江苏银行可查询用户银行卡号及余额等信息 | |
互联网金融 | 添米理财信息泄露(可操作2亿金额) | |
互联网金融 | 帝友P2P借贷系统无需登录SQL注入漏洞(版本限制/附100+案例证明) | |
金融机构 | 长江证券某重要系统弱口令导致Getshell(可影响五个平台安全) | |
银行 | 柳州银行主站某处sql注射 /dba权限/发现前人痕迹 | |
互联网金融 | 好贷网官网APP存在SQL注入漏洞(含130万借贷用户数据) | |
互联网金融 | p2p安全之美尔雅期货存在任意文件上传已Getshell | |
保险 | 中国太平保险集团某业务系统中间件弱口令getshell | |
保险 | 永诚保险理赔系统存在命令执行漏洞导致Getshell | |
银行 | 农业银行某业务存在SQL注入 | |
银行 | 华夏银行某站点存在SQL注入(可os-shell) | |
保险 | 富德生命人寿某处任意密码重置 | |
互联网金融 | 某人寿保险商城系统通用SQL注入漏洞 | |
银行 | 浙江某银行系统官网SQL注入泄露大量敏感数据(可绕过WAF) | |
银行 | 天津农商银行招聘网存在SQL注入/泄露用户信息(安全狗无效) | |
保险 | 中国平安保险(集团)股份有限公司上万用户敏感信息泄漏(含车牌号,车主,车架号,地址,电话) | |
保险 | 永安保险某管理系统配置不当导致getshell | |
金融机构 | 金融安全之银河期货SQL注入\SVN配置不当以及heartbleed漏洞集合 | |
互联网金融 | P2P安全之向上金服某站SQL注入(涉及近380W用户信息) | |
保险 | 华泰人寿某站基础服务弱口令GETSHELL | |
金融机构 | 华泰证券某分站getshell | |
保险 | 华泰保险重要系统配置不当导致getshell(泄露大量用户数据/影响内网安全) | |
保险 | 安邦保险某系统存在任意文件上传漏洞Getshell可威胁内网 | |
金融机构 | 易方达基金某站任意文件遍历(可读/etc/shadow | |
互联网金融 | P2P安全之新新贷主站任意密码重置(13888888888为例) | |
互联网金融 | P2P安全之新新贷某站命令执行可shell导致大量数据泄露 | |
互联网金融 | p2p安全之E租宝存在注入漏洞 | |
银行 | 余杭农村银行某系统SQL注入漏洞 | |
互联网金融 | 广信贷设置不当导致重置任意用户登录密码和交易密码(影响用户资金安全) | |
互联网金融 | 好贷网主站某处绕过SQL注入(附验证脚本) | |
互联网金融 | P2P安全之芝麻金融存在SQL注入漏洞 | |
互联网金融 | 太平洋证券某系统设计缺陷导致多个系统沦陷 | |
互联网金融 | 安平贷p2p网贷平台任意用户密码重置漏洞 | |
银行 | 河南某银行官网SQL注入泄露大量敏感数据(可绕过WAF) | |
金融机构 | 海通证券主站SQL注入导致敏感数据泄露(DBA权限) | |
保险 | 太平洋财产保险某站存在命令执行漏洞导致Getshell(数据库信息泄露/影响内网安全/应聘简历泄露) | |
金融机构 | 投资安全之中民投某处弱口令泄露信息再到账号体系控制不严(影响内网安全\全体人员信息\高管信息\内部数据\多个核心系统) | |
金融机构 | 太平洋证券某系统存在上传漏洞 | |
银行 | 河南某银行系统网站SQL注入造成大量敏感信息泄露(可绕过WAF/87库) | |
互联网金融 | P2P理财投资平台安全之乐投贷存在SQL注入(涉及15万用户账号密码,支付密码,姓名及银行卡号等信息) | |
互联网金融 | 安平贷后主站后台弱口令Getshell | |
保险 | 华泰电话车险任意命令执行导致Getshell | |
互联网金融 | 宜信贷某站存在OpenSSL漏洞(心脏滴血) | |
金融机构 | 期货安全之中国国际期货多站漏洞SQL注入&任意文件上传&弱口令导致内网漫游(从全部员工信息到用户信息告急\可提现) | |
金融机构 | 期货安全之浙商期货多系统多处SQL注入&任意文件遍历\上传导致内网小漫游(涉及全员工账号密码\发现2013年多种后门) | |
银行 | 某市农商银行主站SQL注入(unicode编码绕过360防护) | |
金融机构 | 民安财产保险有限公司Getshell泄露超过500G数据库文件 | |
金融机构 | 期货安全之海通期货某站多处SQL注入&任意文件上传导致内网小漫游(涉及全员工账号密码\内部邮件等敏感信息) | |
保险 | 中国人寿某业务SQL注入绕过涉及上万企业账号密码 | |
金融机构 | 期货安全之美尔雅期货多站漏洞SQL注入&两站Getshell(涉及全员工账户信息\已到内网交换机) | |
金融机构 | 期货安全之上海中期期货某站漏洞SQL注入&任意文件上传Getshell(涉及全部员工详细个人信息\账号\组织架构\内外部运营信息等) | |
金融机构 | 期货安全之中航期货主站SQL两处SQL注入/XSS/物理路径泄露 | |
金融机构 | 期货安全之中辉期货多站多处SQL注入漏洞(涉及全员工账户信息\组织架构等) | |
金融机构 | 期货安全之弘业期货多站漏洞SQL注入&Bash破壳命令执行影响内网安全 | |
金融机构 | 期货安全之东海期货主站某漏洞获取系统Admin权限(涉及用户数据\影响内网安全) | |
金融机构 | 期货安全之国元期货某站多处SQL注入&任意文件上传Getshell(涉及全员工账户信息\影响内网安全) | |
银行 | 中国人民银行 某省分行某系统弱口令(涉及七万六千人银行从业人员信息) | |
金融机构 | 期货安全之国投中谷期货多站漏洞SQL注入&任意文件遍历&内部系统弱口令(涉及6组数据库配置\内部组织架构等) | |
银行 | 兴业银行某站点Struts2修复不当造成命令执行 | |
金融机构 | 期货安全之万达期货某系统漏洞导致全部员工账户信息可泄露(影响其他系统\涉及内外部运营数据\组织架构等) | |
银行 | 中信银行某站点后台弱口令导致Getshell(数据库信息泄露/影响内网安全) | |
银行 | 中信银行信用卡申请页面XSS漏洞可导致执行任意JS代码 | |
金融机构 | 期货安全之中信期货某处漏洞导致内部敏感信息可泄露(涉及全员工\内部运营等信息) | |
保险 | 平安保险某处SQL注入 | |
互联网金融 | P2P理财安全之网利宝某处数据库配置信息泄露(大量数据) | |
银行 | 光大银行某分行OA系统弱口令可渗透内网 | |
银行 | 安徽某地农商银行漏洞打包可威胁内网(文件上传、UNION注入) | |
互联网金融 | 上海汇付金融公司WWW主站SQL注入(DBA权限) | |
互联网金融 | 好贷网主站存在存在SQL注入(需绕过) | |
互联网金融 | P2P安全之网利宝某处信息配置不当造成大量敏感信息泄露 | |
保险 | 民安财产保险弱口令导致Getshell入内网 | |
保险 | 民安财产保险某站配置不当导致Getshell(泄露投保人身份证\电话\保单金额明细等) | |
保险 | 中国人寿官网用户信息大量泄漏 | |
互联网金融 | 好利网APP越权登录任意用户+越权获取全站几十万用户信息(密码md5\手机号\身份证\姓名\账户余额\银行卡) | |
互联网金融 | 久玖支付某业务系统漏洞( 涉及上万商户信息/日3亿交易流水/大量内部配置信息泄露) | |
互联网金融 | 某人寿保险商城系统通用SQL注入漏洞之二 | |
金融机构 | 中国保险监督管理委员会SQL注射一枚(影响全国分之机构) | |
金融机构 | 汇付天下某站点存在命令执行漏洞( 影响内网安全) | |
银行 | 某省农业厅OA系统后台弱口令+post注入 (有泄露领导信息哦) | |
互联网金融 | 联汇通宝某系统SQL注入(涉及4000商户/营业执照/身份证/银行卡/验证码等信息) | |
保险 | 华安财产保险某站配置不当导致Getshell影响内网 | |
银行 | 中信银行5处XSS跨站合集 | |
银行 | 中信银行某系统struts2命令执行修复不当(root权限) | |
金融机构 | 天天盈基金某服务器weblogic java rce命令执行 | |
银行 | 平安银行微信公众号源码泄露可连测试数据库 |
联系作者
刘思成:liusicheng@dbsec.cn 微信:liusc87
付蓉洁:furongjie@dbsec.cn 微信:bernice-fu
沈雪峰 邮箱:shenxuefeng@dbsec.cn 微信:shenfeng617
