当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011179

漏洞标题:全国公民身份信息系统唯一互联网认证商身份通可任意查询用户身份证照片

相关厂商:身份通

漏洞作者: 啦绯哥

提交时间:2012-08-22 16:29

修复时间:2012-10-06 16:30

公开时间:2012-10-06 16:30

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-22: 细节已通知厂商并且等待厂商处理中
2012-08-26: 厂商已经确认,细节仅向厂商公开
2012-09-05: 细节向核心白帽子及相关领域专家公开
2012-09-15: 细节向普通白帽子公开
2012-09-25: 细节向实习白帽子公开
2012-10-06: 细节向公众公开

简要描述:

无意中在核对身份信息时发现

详细说明:

希望国家能够重视居民隐私

漏洞证明:

http://www.idtag.cn/historyResultAction.do?method=showPhoto&id=13429532&type=1
可以在登录后修改id值查看其他居民身份证登记照片

修复方案:

不知道

版权声明:转载请注明来源 啦绯哥@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2012-08-26 23:47

厂商回复:

CNVD确认并复现所述情况,同时对引起缺陷的原因归类为URL不安全参数引用,由CNVD尝试协调网站管理方处置(未列入CNCERT处置流程)。
综合评估危害情况,参考作者自评,rank 3

最新状态:

暂无


漏洞评价:

评论

  1. 2012-08-22 16:37 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    围观

  2. 2012-08-22 16:40 | zhk ( 普通白帽子 | Rank:436 漏洞数:70 | 先看公告~)

    用户吗?

  3. 2012-08-22 16:57 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    0 0别告诉我有名字就可以查到全国的身份证

  4. 2012-08-22 17:08 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    少年 你图样图森破 还任意查询,你查下我的呗根本扯J8但呢 你所谓的任意查询就是把已知的照片url修改下你连是谁的照片都不知道,还任意呢,而且,很重要的而且你把你查的照片url地址记住 过一会或者明天在看 是否照片不存在了,你看见的是缓存

  5. 2012-08-22 17:10 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @北洋贱队 淡定....

  6. 2012-08-22 17:10 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    @0gucci 有名字都查不到别人的照片,他说的是未知用户的照片,很小很小的一个头像

  7. 2012-08-22 18:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @北洋贱队 对于审美,够了 淡定

  8. 2012-08-22 18:49 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    上次去电信办业务,有个二代身份证读取器,不需要扫描,RFID一刷,电脑里就有了扫描图,很清晰的。这个是根据扫到的身份证号从数据库查的还是这个扫描图全部数据都存在身份证里??

  9. 2012-08-22 18:51 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    呵呵,刚刚查到了,是都压缩在身份证里的。http://www.shou-we.com/productshow.asp?id=2686

  10. 2012-08-22 18:56 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    原来一直以为二代证里面只存了号码,那个图是有专门的数据库接口查的,当时还想着要是搞到这个数据库那不是爽爆了??

  11. 2012-08-22 19:15 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    @北洋贱队 这也算是漏洞吗?-_,

  12. 2012-08-22 22:34 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    这么犀利啊,球方法

  13. 2012-08-22 22:37 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    0 0别告诉我有名字就可以查到全国的身份证看到任意 激动了

  14. 2012-08-22 22:38 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)

    真如北洋贱队所说话.......这个漏洞有点标题党,吸引人目光了乌云再严肃点就好了

  15. 2012-08-23 01:46 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    @softbug 这个真是标题党 完全可以忽略的

  16. 2012-08-23 09:34 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    如果结合利用的好,的确是可以做到完全伪造身份证。看如何计分的吧。

  17. 2012-08-23 13:40 | along ( 实习白帽子 | Rank:45 漏洞数:7 | 关注信息安全,阿龙)

    如果真是任意,那就强了

  18. 2012-10-06 18:12 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )

    不知道为什么,开始对wooyun产生异样的感觉了。

  19. 2012-10-07 10:50 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @w5r2 啥子感觉?

  20. 2012-10-10 23:55 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )

    @xsser 空前的缺氧。

  21. 2012-10-11 08:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @w5r2 那是么比意思