首都航空某app任意密码重置+用户敏感信息(涉及十万空姐电话等)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-27: 细节已通知厂商并且等待厂商处理中
2016-05-03: 厂商已经确认,细节仅向厂商公开
2016-05-13: 细节向核心白帽子及相关领域专家公开
2016-05-23: 细节向普通白帽子公开
2016-06-02: 细节向实习白帽子公开
2016-06-17: 细节向公众公开

简要描述:

说实话,这洞不爱提,留着用多好

详细说明:

首都航空推出的空乘人员,爱好者交流互动app :空空

QQ截图20160427151348.png





设计上存在诸多问题

1、任意账号注册+任意用户密码重置

2、敏感信息泄露

3、越权操作等等

漏洞证明:

此app手机验证码返回4位,抓包爆破轻易

注册任意账号与重置任意用户密码

1.png



3.png



这个时候有个问题,如何知道app中众多美女的电话

别急,坑爹的在这

去查看你喜欢妹子的账号动态,返回包中自然包含她的电话也就是她的账号

IMG_1213.PNG



4.png



个人认为知道电话没必要重置人家的密码。。。。。。



关注处,用b账号登录然后关注a账号,在更改对应id,可以让所有的空姐都关注你

越权操作

IMG_1212.PNG











修复方案:

验证码六位

敏感信息脱敏

越权限制

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-05-03 10:02

厂商回复:

谢谢,我们会立即安排整改。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:首都航空某app任意密码重置+用户敏感信息(涉及十万空姐电话等) - https://www.15qq.cn/wooyun/855.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知