漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-093175
漏洞标题:房多多设计缺陷可指定登录任意用户(二)
相关厂商:fangdd.com
漏洞作者: darkrerror
提交时间:2015-01-21 19:45
修复时间:2015-01-26 19:46
公开时间:2015-01-26 19:46
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
收集这么多客户数据,我是不是该推销房子去了。
详细说明:
下载并安装房多多app:http://e.fangdd.com/
1:使用手机号码登录,填写任意短信验证码并提交
2:返回请求提示短信验证码错误,将返回请求修改为如下。
3:注意上面参数“494347”。修改为任意值(递增规律),登录任意账号。可批量获取查看他人信息(手机号、身份证等),删除订单等操作。
4:测试需要注意:首次登录别人账号之后需要关掉app应用,重新打开数据就刷新了(或者使用其他方法,该app开发时并不是即时刷新数据的。)
漏洞证明:
这些东西对销售来说是宝贵的资源啊
修复方案:
加强业务逻辑,重要参数加密传输
版权声明:转载请注明来源 darkrerror@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-01-26 19:46
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
2015-01-29:谢谢。
2015-03-19:已联系wooyun君补上rank,目前我司已建立较为良好的漏洞响应处理机制,再次感谢“darkrerror”的友情检测,请“darkrerror”与我们联系,稍后将送上小礼品,以表敬意和歉意!