WooYun.org

济源农商行主站POS业务申请功能设计缺陷导致用户开户行账号/开户行地址/身份证号码/姓名/电话号码/营业执照号码等信息泄露。
问题出现在首页的“POS业务申请”功能处。

点击“POS业务申请”页面跳转到如下页面：

OK，就是这里，存在问题。
问题1：根据“营业执照号”和“申请支行”就可查询用户的申请详细信息。（没有验证码，可以暴力破解）
跑到一个用户账号：
举例证明：（不要问我如何获取的营业执照号，这年头信息泄露那么多，收集一点有用信息还是有可能的）
营业执照号输入：410881190027224
申请支行选择：济水支行
此时点击查询按钮，系统响应如下：
用户名姓名、身份证号码、开户行账号、开户行地址、身份证号码、税务登记号等都在看到。（还可以看用户的身份证照片、营业执照照片）

点击最下方的查看图片可查看身份证照片等，顺便看一下：
身份证照片：

营业执照：

问题2：该系统查询最后一位POS业务申请用户的信息时，经过测试：不需要输入正确信息就可查看。（应该是程序设计有问题吧.）
证明：
之前自己先随便“申请”了一下POS业务（为了测试，不好意思。）
在“营业执照号”中随便输入信息，例如：111111
“申请支行”随便选，例如选择：宣化支行

点击“查询”，系统响应如下：

此时点击“查看图片”（四个中随便点击一个），此时我刚才申请的信息就可以看到了（因为我刚刚申请，所有我是最后一个POS申请的人）

这个是我申请POS业务申请时自己填写的。
OK，问题证明到此，赶快修改。