当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070404

漏洞标题:某省会社保局网站存在严重安全漏洞可致信息泄漏风险

相关厂商:cncert国家互联网应急中心

漏洞作者: 蓝色水晶球

提交时间:2014-07-31 12:22

修复时间:2014-09-14 12:24

公开时间:2014-09-14 12:24

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经确认,细节仅向厂商公开
2014-08-15: 细节向核心白帽子及相关领域专家公开
2014-08-25: 细节向普通白帽子公开
2014-09-04: 细节向实习白帽子公开
2014-09-14: 细节向公众公开

简要描述:

查询个人社保信息无需认证,只要输入身份证号或个人编号即可

详细说明:

个人编号为8位,从10000000枚举到99999999,可获得社保局里登记的所有个人关键信息,其中包括身份证号、联系电话、从业单位名称、通讯地址、社保卡卡号、养老手册编号等。

漏洞证明:

1.登录,输入个人编号

1.png


2.显示个人基本信息

2.png


3.png


3.显示缴费基数等

4.png


由于个人编号为8位数,可以用bp枚举从10000000到99999999(共计9千万)的所有人的信息

5.png


6.png


7.png


从上图可以看出,length=252的个人编号不存在,length>252的个人编号都存在。9000万个号,即便只有20%是真实存在的,也有1800万人的个人信息泄漏,我偷个懒,枚举到前2000个号就停止了。谁有兴趣可以继续啊:-)
下面再贴2个人以示证明

8.png


9.png

修复方案:

加认证信息,如口令等,不提交就不允许查。

版权声明:转载请注明来源 蓝色水晶球@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-08-05 08:58

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给湖南分中心处置。按信息泄露风险评分,rank 13

最新状态:

暂无