四川省某市城乡房产管理局存在漏洞可查看大量内部信息（含人员详细信息）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0142478

漏洞标题：四川省某市城乡房产管理局存在漏洞可查看大量内部信息（含人员详细信息）

漏洞作者：路人甲

提交时间：2015-09-23 08:15

修复时间：2015-11-08 15:34

公开时间：2015-11-08 15:34

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-23：细节已通知厂商并且等待厂商处理中
2015-09-24：厂商已经确认，细节仅向厂商公开
2015-10-04：细节向核心白帽子及相关领域专家公开
2015-10-14：细节向普通白帽子公开
2015-10-24：细节向实习白帽子公开
2015-11-08：细节向公众公开

简要描述：

详细说明：

网址：http://**.**.**.**，可撞库，用常用用户名和弱口令123456可获得几个有效账号，登陆后可查看全局通讯录（3900多名人员姓名、部门、职务、电话等），再用通讯录中人名拼音跑，可获得七八十个有效账号，登陆账号可查看日常公文、督办工作等敏感信息，尤其是账号zhangxiaomin和liuwei权限比较高，不仅可以查看自身简历，还可以查看其他1400名人员的简历（含姓名、身份证、电话、家庭成员、教育经历、培训经历、奖惩、出国等信息）。

zhangxiaomin
liuwei
yina
xuhan
qiubo
fuyao
wutao
liling
sunqin
taoran
shenyu
huling
sunqin
gaoxia
liuwei
liling
huling
gaoxia
yangmei
jiangyu
pujiang
jiangyu
laiping
huangxi
jiangli
jiangli
zhaofei
jiangli
yangmei
jiangshu
xupeijun
huangwen
pengfang
xujingxi
dengrong
jianghua
huangwen
dengrong
zhenghao
pengfang
wangdong
wangdong
maweiying
liudongli
liruijiao
gaojinshu
liudongli
zenglixia
yangzhong
qianyalan
handehong
duxiaoqin
liaojunru
lixiulian
weijiayong
kangxianze
jiahuixian
xiejianfei
wangjialin
xutingting
xiejianfei
luochuntao
yuqingpeng
liaojiafeng
zhangzhiwen
weiguichuan
yuchengping
zhouxiaohong
chentianrong
zhangxiaomin
danzhaocheng
huangxiangui
zhangxiaolan
zhangxiaolan
zhangyouheng
zhengtingting
xitongshengji
zhouchongjiang
tangguangliang