漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-099110
漏洞标题:新疆广电接口配置不当,可拖库,可代办业务
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2015-03-03 16:40
修复时间:2015-04-17 16:42
公开时间:2015-04-17 16:42
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-03: 细节已通知厂商并且等待厂商处理中
2015-03-06: 厂商已经确认,细节仅向厂商公开
2015-03-16: 细节向核心白帽子及相关领域专家公开
2015-03-26: 细节向普通白帽子公开
2015-04-05: 细节向实习白帽子公开
2015-04-17: 细节向公众公开
简要描述:
RT
详细说明:
1、接口配置不当,遍历接口可直接脱库,应该有上百万
此处接口只是为了让用户确认账号信息,但是带出来了太多隐私数据
http://www.xj96566.com/IOC/thread/business!getBossUserData.action?cardnum=4111681000
2、业务逻辑设计有缺陷,可直接用此处账号和查询出来的姓名登陆办理业务,此处如被程序自动化掉,后果很严重。
(此处用4111681000账号测试了下在线订购,结果成功了,你们看到了,帮给取消下吧)
两处任意一处被程序自动化的话,后果都很严重。
漏洞证明:
1、没什么好证明的,遍历接口跑就是了,什么限制都没。
2、登陆的验证码都是可以复用的,用过没做销毁,手动输一次之后就可以自动化了,业务办理走的也是接口,可以批量操作,就不证明了
修复方案:
查询接口只返回用户的部分姓名即可,其他用*号隐藏,不用全部显示,这样就可以避免非本人登陆办理业务
姓名电话地址什么的无关信息,不要在此接口出现
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2015-03-06 21:55
厂商回复:
CNVD确认所述情况,转由CNVD下发分中心,由其后续联系网站单位处置。
最新状态:
暂无