漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0134914
漏洞标题:ETCP停车APP设计缺陷可登陆任意账户(土豪账户演示)
相关厂商:ETCP停车
漏洞作者: 路人甲
提交时间:2015-08-18 15:28
修复时间:2015-10-02 15:30
公开时间:2015-10-02 15:30
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-02: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
ETCP是全球智慧停车行业领军品牌,中国智慧停车行业的创建者和引领者。在国家相关部委的关怀和指导下,以中国政府建设智慧城市战略为指引,以提升城市公共服务管理能力为企业使命,于2012年在北京成立,集团总部位于北京CBD核心商圈,在美国、香港和中国一二线核心城市设有分(子)公司近20家,控股和参股的行业相关企业10余家,员工规模数千人,企业市值超过40亿元。
详细说明:
2015年6月8日消息,据内部员工爆料,国内智能停车平台“ETCP停车”宣布完成A轮融资,由SIG、易车网、源码资本、经纬中国和商企界知名人士联合投资超过5000万美金。同时获悉,本次融资金额是停车O2O行业最大一笔,也意味着,ETCP停车市值已经突破5亿美金(http://www.sootoo.com/content/650379.shtml)
过程如下:
1、输入手机号18888888888,点击发送验证码
2、在返回包中返回了验证码,输入验证码即可登陆
3、登陆成功
漏洞证明:
来看看土豪的车型
来看看土豪的停车记录
开启自动支付功能,添加我的车型,是不是可以让土豪给我支付停车费呢?
修复方案:
@@@
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)