当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095047

漏洞标题:韵达部分运输车主信息泄露

相关厂商:韵达快递

漏洞作者: 大物期末不能挂

提交时间:2015-02-02 14:32

修复时间:2015-03-19 14:34

公开时间:2015-03-19 14:34

漏洞类型:内容安全

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-02: 细节已通知厂商并且等待厂商处理中
2015-02-02: 厂商已经确认,细节仅向厂商公开
2015-02-12: 细节向核心白帽子及相关领域专家公开
2015-02-22: 细节向普通白帽子公开
2015-03-04: 细节向实习白帽子公开
2015-03-19: 细节向公众公开

简要描述:

论如何用js跳转页面。

详细说明:

百度:

site:nbsw.yundasys.com


发现有好多个班车运费日报表,默默地打开发现直接跳转到登陆页面了。

QQ截图20150131223102.png


仔细研究后发现是采用js跳转到页面的,于是在浏览器设置里禁用掉js,之后再也不发生跳转,于是可以直接看到韵达运输司机的姓名以及手机号。

QQ截图20150201142745.png


QQ截图20150201142806.png


http://nbsw.yundasys.com:11324/newcar/print/index.php?fcpz=31001570481&rq=2014-09-19


修改数据测试知道:fcpz=是车主的编号,rq=日期,这样就可以直接遍历车主的信息了。

漏洞证明:

浏览器禁用js后打开

http://nbsw.yundasys.com:11324/newcar/print/index.php?fcpz=31001570481&rq=2014-09-19


QQ截图20150201142745.png


QQ截图20150201142806.png

修复方案:

不要用js跳转

版权声明:转载请注明来源 大物期末不能挂@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-02-02 17:04

厂商回复:

感谢指出!

最新状态:

暂无