漏洞标题 深圳居民许可APP存在公民信息泄露问题 相关制造商 深圳居留许可 漏洞作者 过路人 提交时间 2016-05-08 16: 20 公共时间 2016-06-25 16: 00 漏洞类型 未经授权的访问/许可绕过 危险等级 高 自我评估等级 15 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 漏洞详细信息 1. POST模式请求**。**。**。**: 9999/jzz/residence/lggajGetJZZStatus,参数为 USER_ID=4272011 credentialsNum=(申请深圳居留许可的市民)身份证号码 名称=名称 USER_NAME=名称 请求将返回一个id,请参阅下面两个Fiddler的屏幕截图
2.使用步骤1中获得的id作为参数,GET请求**。**。**。**: 9999/jzz/residence/lggajGetJzzDetails 您将获得公民的手机号码,详细地址,配偶信息等。请参阅下面的Fiddler截图。
漏洞证明: 修理计划: 版权声明:请注明出处。居民A @乌云