某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某敏感单位e居卡智能门禁管理系统存在逻辑漏洞导致上万用户敏感信息泄露事件⑵(身份证/业主卡号/地址/房东姓名/SIM卡)

详细说明:

大量法人,企业,小区门禁用户一览无遗 PS:无奈打开源代码,发现惊人一幕 这个要是被泄漏出去,危害可想而知



mask 区域
1.http://**.**.**/Login.aspx





mask 区域
*****b25c269ecafc191e62.gif"*****





打开源代码



code 区域
<script type="text/javascript">
//$(document).ready(function () {
// $.ajax({
// attachData: "info",
// url: "/handler/Login.ashx?t=login&name=shitong&password=tdr123", //请求的action路径
// cache: false,
// error: function () {//请求失败处理函数
// $("#msg").text("用户名或密码填写错误");
// },
// success: function (data) { //请求成功后处理函数。
// if (data.data == 0) {
// $("#msg").text("正在转向主页");
// window.location.href = "/Index.aspx#index";
// } else if (data.data == 1) {
// $("#msg").text("用户名或密码填写错误");
// } else {
// $("#msg").text(data.data);
// }
// }
// });
//})





mask 区域
*****&password=tdr123", *****





果断登录



捕获11111.GIF





共9782条记录,这个数据还要多



mask 区域
*****所 	931D85B5 	128408 	2016-04-14*****
***** *****
*****
*****
***** F3249DB5 127687 2016-04-26 *****
***** *****
*****
*****
***** 131F86B5 121356 2016-04-26 *****
***** *****
*****
*****
***** 83679CB5 120309 2016-04-26 14:*****
***** *****
*****
*****
*****溪派出所 23879AB5 123524 2016-*****
***** *****
*****
*****
***** 744F572E 42547 2016-04-26 1*****
***** *****
*****
*****
***** 6454522E 114167 2016-04-26 14:*****
***** *****
*****
*****
***** D37496B5 126651 2016-04-26 14:*****
***** *****
*****
*****
***** A36F88B5 129345 2016-04-26 14:*****
***** *****
*****
*****
***** E36F90B5 128323 2016-04-05 18*****
***** *****
*****
*****
***** 93FF9BB5 129548 2016-04-26 14*****
***** *****
*****
*****
***** 118689 2016-04-26 14:19:36*****
***** *****
*****
*****
***** 3FD92B5 128787 2016-04-26 14:*****
***** *****
*****
*****
***** 3E296B5 128503 2016-04-26 14:*****
***** *****
*****
*****
*****3D99B5 127292 2016-04-26 14:16:43*****
**********
*****所 B3C389B5 126619 2016-04-26*****
***** *****
*****
*****
***** F33893B5 126497 2016-04-26 14*****
***** *****
*****
*****
***** 33017BBC 119522 2016-04-26 14*****
***** *****
*****
*****
***** 128476 2016-04-26 14:22:09*****
***** *****
*****
*****
***** 117370 2016-04-26 11:50:46*****
***** *****
*****
*****
***** 126858 2016-04-26 14:19:38*****
***** *****
*****
*****
***** 333494B5 128592 2016-04-26 14*****
***** *****
*****
*****
***** E3999DB5 125947 2016-04-26 1*****
***** *****
*****
*****
***** 232688B5 127045 2016-04-26 14*****
***** *****
*****
*****
***** 124188 2016-04-26 14:23:20*****
***** *****
*****
*****
***** 123917 2016-03-22 14:31:08*****
***** *****
*****
*****
***** 73EA9AB5 127731 2016-04-26 14*****
***** *****
*****
*****
***** 931296B5 120813 2016-04-26 14*****
***** *****
*****
*****
***** 934E85B5 127447 2016-04-26 14*****
***** *****
*****
*****
*****7310 2016-04-26 14:28:36 *****





mask 区域
*****c98996488c74d72d68.gif"*****
**********
*****f51cd6a2302afa9b8e.gif"*****
**********
*****94a21188ccf674c887.gif"*****
**********
*****80275d0fe6f9538002.gif"*****
**********
*****ca9cf51b0322a0a397.gif"*****
**********
*****8e5e970c0594350780.gif"*****

 

漏洞证明:

 

mask 区域
*******.**/Login.a*****

 

修复方案:

 

版权声明:转载请注明来源 0x 80@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-06 01:10

厂商回复:

 

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度未收录『点击提交』

本文链接:某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡) - https://www.15qq.cn/wooyun/870.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知