河北航空某漏洞导致大概13w个人信息泄露(包括身份证/真实姓名/手机号码/邮箱/家庭地址/航班信息等)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-29: 细节已通知厂商并且等待厂商处理中
2016-05-03: 厂商已经确认,细节仅向厂商公开
2016-05-13: 细节向核心白帽子及相关领域专家公开
2016-05-23: 细节向普通白帽子公开
2016-06-02: 细节向实习白帽子公开
2016-06-17: 细节向公众公开

简要描述:

 

详细说明:

http://m.hbhk.com.cn:81/new_wap/index.html



下载APP



自己弄个账号登录后,可查看APP各项功能。其中



QQ截图20160429173413.png



会员订单管理、亲友名录管理、邮寄地址管理等多项功能操作越权问题

例如

订单管理接口 内含用户姓名、身份证号、手机号、以及航班信息,从id上用户量已达近13w

QQ截图20160429173816.png





上burpsuite遍历

QQ截图20160429182817.png



burpsuite不太好看,我们导出后处理,更直观。这边只列出姓名身份证跟手机号,还有航班起点跟终点



QQ截图20160429183030.png





再看

亲友名录管理(内含用户的姓名跟身份证还有手机号)



QQ截图20160429183219.png





同样可以上burpsuite

QQ截图20160429183743.png



QQ截图20160429183722.png





最后一个

邮寄地址管理,泄露的东西,很简单,就是地址跟手机号

QQ截图20160429183836.png



上burpsuite 数据量相对较少



QQ截图20160429184029.png





QQ截图20160429184201.png







除了上述所说的,会导致用户信息泄露,其他操作,通过修改uid。也能越权增删改操作



漏洞证明:

上述接口,只需遍历最后一个id即可





任意用户登录。





在登录时,修改登录包的返回体中的id

例如

QQ截图20160429184427.png



即可登录该账号。查看该账号信息,并进行操作。

例如

QQ截图20160429184554.png



修复方案:

权限控制。用uid来控制真的太简单了。求个20R

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-03 10:28

厂商回复:

非常感谢白帽子的工作,我们已组织团队进行修复工作。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。

百度收录:百度已收录『查看详情』

本文链接:河北航空某漏洞导致大概13w个人信息泄露(包括身份证/真实姓名/手机号码/邮箱/家庭地址/航班信息等) - https://www.15qq.cn/wooyun/751.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知