当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152376

漏洞标题:顺丰内部工作人员信息泄漏(总裁王卫的手机号都有)

相关厂商:顺丰速运

漏洞作者: 大神求我飞

提交时间:2015-11-06 17:20

修复时间:2015-12-24 14:42

公开时间:2015-12-24 14:42

漏洞类型:内容安全

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-06: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经确认,细节仅向厂商公开
2015-11-19: 细节向核心白帽子及相关领域专家公开
2015-11-29: 细节向普通白帽子公开
2015-12-09: 细节向实习白帽子公开
2015-12-24: 细节向公众公开

简要描述:

成因:顺丰主动提供快递员的照片,但是未做权限限制,包括职能人员的信息泄漏。
危害:暴露公司内部员工(不仅局限于快递员)隐私,包括头像、姓名、 手机号。
举个例子,如果你遇到一个顺丰员工的客服,你知道了他的工号,你就能知道他的手机号和样子,可能会对员工造成不必要的影响。特别是职能人员。

详细说明:

通过此地址,http://store.sf-express.com/emp/pic/614713.jpg(数字部分为顺丰工号,可以任意下载查看,如果用迅雷批量下载,可以得到所有人的头像,根据头像可以再划分有无分配的工号,可以逆向查找姓名和手机,此漏洞要是给相亲网站拿去了,会是咋样啊)
通过微信里的网上下单提醒,得知快递员信息。

1.png


用本地默认浏览器打开后,会发现这个地址,http://i.sf-express.com/weiwap/showempinfo.html?empno=896599(任意修改后面工号可以得到所有员工的头像和姓名)
当然这个肯定不够,还需要了解联系方式啊。
联系信息是通过这个方式获得,http://i.sf-express.com/service/store/storeorder/employeeinfo?empCode=896599
在这个页面可以得到员工的手机号。
超级大礼物,http://i.sf-express.com/service/store/storeorder/employeeinfo?empCode=000001
王卫的手机号泄漏。。

漏洞证明:

2.png


4.png

修复方案:

和谐掉手机号,和谐掉职能人员的信息。

版权声明:转载请注明来源 大神求我飞@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-11-09 14:41

厂商回复:

感谢对顺丰安全的关注,漏洞已经确认,求联系方式,送小礼品哈。

最新状态:

暂无