当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0203562

漏洞标题:河北航空某漏洞导致大概13w个人信息泄露(包括身份证/真实姓名/手机号码/邮箱/家庭地址/航班信息等)

相关厂商:河北航空有限公司

漏洞作者: 路人甲

提交时间:2016-04-29 19:07

修复时间:2016-06-17 10:30

公开时间:2016-06-17 10:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-29: 细节已通知厂商并且等待厂商处理中
2016-05-03: 厂商已经确认,细节仅向厂商公开
2016-05-13: 细节向核心白帽子及相关领域专家公开
2016-05-23: 细节向普通白帽子公开
2016-06-02: 细节向实习白帽子公开
2016-06-17: 细节向公众公开

简要描述:

详细说明:

http://m.hbhk.com.cn:81/new_wap/index.html
下载APP
自己弄个账号登录后,可查看APP各项功能。其中

QQ截图20160429173413.png


会员订单管理、亲友名录管理、邮寄地址管理等多项功能操作越权问题
例如
订单管理接口 内含用户姓名、身份证号、手机号、以及航班信息,从id上用户量已达近13w

QQ截图20160429173816.png


上burpsuite遍历

QQ截图20160429182817.png


burpsuite不太好看,我们导出后处理,更直观。这边只列出姓名身份证跟手机号,还有航班起点跟终点

QQ截图20160429183030.png


再看
亲友名录管理(内含用户的姓名跟身份证还有手机号)

QQ截图20160429183219.png


同样可以上burpsuite

QQ截图20160429183743.png


QQ截图20160429183722.png


最后一个
邮寄地址管理,泄露的东西,很简单,就是地址跟手机号

QQ截图20160429183836.png


上burpsuite 数据量相对较少

QQ截图20160429184029.png


QQ截图20160429184201.png


除了上述所说的,会导致用户信息泄露,其他操作,通过修改uid。也能越权增删改操作

漏洞证明:

上述接口,只需遍历最后一个id即可
任意用户登录。
在登录时,修改登录包的返回体中的id
例如

QQ截图20160429184427.png


即可登录该账号。查看该账号信息,并进行操作。
例如

QQ截图20160429184554.png


修复方案:

权限控制。用uid来控制真的太简单了。求个20R

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-03 10:28

厂商回复:

非常感谢白帽子的工作,我们已组织团队进行修复工作。

最新状态:

暂无