当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154937

漏洞标题:爱卡汽车某漏洞导致40万车主信息\5万合同信息泄露

相关厂商:爱卡汽车网

漏洞作者: 土夫子

提交时间:2015-11-22 10:45

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-22: 细节已通知厂商并且等待厂商处理中
2015-11-23: 厂商已经确认,细节仅向厂商公开
2015-12-03: 细节向核心白帽子及相关领域专家公开
2015-12-13: 细节向普通白帽子公开
2015-12-23: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

听说提交漏洞有礼物

详细说明:

一个弱口令引起的大量信息泄露
http://sales.xcar.com.cn/
lijing/123456
一、进入管理后台可发现有40万车主信息,虽然程序做了程序对手机号部分做了处理,但是通过抓包依然可以看到每位车主姓名、手机号。还有大量4S店信息和每日销售金额等敏感信息

1.jpg


2.jpg


二、存在越权,直接修改链接中的id即可,可遍历大量合同(5万左右)

3.jpg


4.jpg


5.jpg


漏洞证明:

如上

修复方案:

1、增加验证码等安全机制,防止爆破
2、禁止使用弱口令,密码采用强制复杂性密码

版权声明:转载请注明来源 土夫子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-23 10:53

厂商回复:

感谢 @土夫子 的帮助提交,问题我们已经确认,我们会尽快修复,再次感谢!

最新状态:

暂无