当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138092

漏洞标题:中国移动广州某分公司某业务未授权访问可泄漏用户敏感信息

相关厂商:广东移动某分公司

漏洞作者: 路人甲

提交时间:2015-09-02 11:17

修复时间:2015-10-20 08:24

公开时间:2015-10-20 08:24

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-02: 细节已通知厂商并且等待厂商处理中
2015-09-05: 厂商已经确认,细节仅向厂商公开
2015-09-15: 细节向核心白帽子及相关领域专家公开
2015-09-25: 细节向普通白帽子公开
2015-10-05: 细节向实习白帽子公开
2015-10-20: 细节向公众公开

简要描述:

未授权可访问某业务系统,泄露管理人员帐号信息,泄露办理该业务近9万用户手机号码、住址、身份证相片信息。

详细说明:

中国移动茂名分公司的业务站点,http://10086.gdmmyd.net/main.jsp可以被直接访问,该页面可能为开发人员未完成页面,访问时会有js错误,但利用burpsuite,把js中的var zNodes = ;注释掉,把下面一行被注释的

// var zNodes =  [{ id:1, pId:0, name……

的注释//去掉,即可正常访问页面。里面的用户管理、角色管理功能可以正常使用。
用户实名制信息提交后台管理页面也无须认证即可访问(我这里用firefox不行,需要使用IE才能正常显示), 已审核人员信息后台为

http://10086.gdmmyd.net/shiming/jhshiming.jsp

,88982条记录
未审核人员信息后台为

http://10086.gdmmyd.net/shiming/shiming.jsp

,人员信息包括手机号码、姓名、身份证、地址、身份证相片,非常详尽,而且可以直接进行操作。

漏洞证明:

http://10086.gdmmyd.net/main.jsp

1712条记录,无须登录,但复现时需要处理掉错误的js

main


http://10086.gdmmyd.net/shiming/jhshiming.jsp

已审核的实名制人员信息,近9万条,而且肯定还会继续增加

sh1_m.png


http://10086.gdmmyd.net/shiming/shiming.jsp

未审核的实名制人员信息,可进行审核操作(不敢点击去证实)

sh3_m.png


人员信息可以详细查看

sh2_m.png


修复方案:

对页面增加权限控制

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-09-05 08:23

厂商回复:

CNVD确认所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理单位处置.

最新状态:

暂无