漏洞标题 河北航空的漏洞导致13w个人信息泄露(包括身份证/真实姓名/手机号码/邮箱/家庭住址/航班信息等) 相关制造商 河北航空公司 漏洞作者 过路人 提交时间 2016-04-29 19: 07 公共时间 2016-06-17 10: 30 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 http://m.hbhk.com.cn: 81/new_wap/index.html 下载应用 使用您的帐户登录后,您可以查看该应用程序的功能。其中
会员订单管理,家人和朋友目录管理,邮寄地址管理等。 例如 订单管理界面包含用户名,ID号,手机号和航班信息。来自id的用户数量已达到近13w。
Burpsuite遍历
Burpsuite不是很好看,我们出口和后期处理,更直观。此处仅列出名称ID和手机号码,以及航班的起点和终点。
再看一遍 家人和朋友目录管理(包括用户名和身份证和手机号码)
同样可以用于爆破
最后一个 邮件地址管理,泄漏的东西,很简单,就是地址和手机号码
突发岩上的数据量相对较小
除上述内容外,还将通过修改uid导致用户信息泄露,其他操作。也可以增加操作次数 漏洞证明: 上面的界面,只是遍历最后一个id 以任何用户身份登录。 登录时修改登录包的返回体中的id 例如
您可以登录此帐户。查看帐户信息并继续。 例如
修理计划: 许可控制。使用uid来控制真的太简单了。找一个20R 版权声明:请注明出处。居民A @乌云