当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108308

漏洞标题:一次成功获取整个吉林市酒店开房者信息的经历

相关厂商:公安部一所

漏洞作者: 路人甲

提交时间:2015-04-16 11:52

修复时间:2015-04-21 11:54

公开时间:2015-04-21 11:54

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-16: 细节已通知厂商并且等待厂商处理中
2015-04-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

故事从百度文库开始

详细说明:

mask 区域 
*****^^他地区暂不一样,本次只^*****
*****中找^*****
*****15a1c847ae97d569384f.png&qu*****
*****^^始了下^*****
*****^^身份^*****
*****^^: 220202 昌邑区 220203 龙潭区 220204 船营区 220211 丰满区 *****
*****^^的旅^*****
*****40000<*****
*****历0000-9999即可得^*****

漏洞证明:

mask 区域 
*****^^*****
1.http://**.**.**/lg/default.aspx_
**********
*****^馆登记控制台&*****
*****^^试打开*****
*****69c2ff75651a95d1d23b.png&qu*****
*****t;code>val*****
*****b13e00a50fcd0fc35218c5.png*****
*****^^^*****
*****57dd6b388a543e25c9c2.png&qu*****
**********
*****击登陆,^*****
*****0f566470176fb63668c511.png*****
*****^^量&0000&a*****
*****b92b33ebdfd758a64690ea.png*****
**********
*****^^*****
*****eaf7ae22d30a97403ffd24.png*****
*****存在并^*****
**********
*****001进^*****
**********
*****36f2cb9a609a4bf8ca75.png&qu*****
*****直接点击搜索即可^*****
*****ada927ab567540f9fff3.png&qu*****
**********
*****行权^*****
*****细^*****
2.http://**.**.**/lg/InfoRegister/xxClient.aspxsj=2202040001201502140001_
*****^^*****
*****^^*****
*****馆^*****
*****4日*****
*****住^*****
*****^身份获取整^*****
**********
**********
*****制台再进行^*****

修复方案:

修改登陆验证方式
控制平行权限

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-21 11:54

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无