当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121539

漏洞标题:汽车网站系列之宝马一处爆破导致6000+姓名手机号码泄露

相关厂商:宝马

漏洞作者: 小龙

提交时间:2015-06-19 08:47

修复时间:2015-08-03 08:48

公开时间:2015-08-03 08:48

漏洞类型:

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

刷刷存在感

详细说明:

宝马.jpg

漏洞证明:

ucb2b.bmw.com.cn


mask 区域
*****o	302	false*****
*****false f*****
*****alse fal*****
*****alse fal*****
*****false f*****
*****2 false *****
***** false f*****
***** false f*****
*****e false 775*****


测试账号密码:

mask 区域
*****/123*****


登陆进去后访问:

mask 区域
1.://**.**.**//ucb2b.bmw.com.cn/TranstarAuctionCar/AuctionCarDetail.aspxid=6666</code>


ID随意更换
再此可以告诉下厂商,如果手机号码和姓名公开的话确定保密吗?还是说用户自己公开就给大众看呢?这里我可以提个建议,就是像淘宝那样搞个联系窗口,不会更好吗

修复方案:

1:加个验证码

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)