当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05986

漏洞标题:58同城简历库资源泄漏,绕过限制查任何人简历资料

相关厂商:58同城

漏洞作者: mibboy

提交时间:2012-04-12 19:03

修复时间:2012-04-13 18:03

公开时间:2012-04-13 18:03

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-04-12: 细节已通知厂商并且等待厂商处理中
2012-04-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

对权限的控制和验证不足导致任意用户简历泄漏,可进行批量采集某行业人才信息。。。

详细说明:

58上的企业要看求职者简历有限制,好像现在免费能下载20条,但超了就要充钱才能看。。。此问题就是绕过这个限制。对权限的控制和验证不足导致任意用户简历泄漏,可进行批量采集某行业人才信息。对一些需要做生意的人这些资源非常不错。

漏洞证明:

随意找个简历http://jianli.58.com/showresumeinfo/?rid=58144049163777。

普通注册企业会员想要看联系方式需要充钱才行。。。。或者有下载限制。但是这个漏洞可以突破下载限制,甚至无需注册企业会员。
但这样http://jianli.58.com/outsendresume/?rid=58144049163777就能随意发送到指定邮箱

修复方案:

不解释,你懂的

版权声明:转载请注明来源 mibboy@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-13 18:03

厂商回复:

验证了下漏洞,不存在此漏洞,欢迎同学报告58的安全问题。也感谢大家的关注。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-04-12 20:19 | SZn ( 路人 | Rank:8 漏洞数:3 | 雄鹰小时候也叫菜鸟!)

    哥的隐私啊!

  2. 2012-04-13 09:39 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    社 人 必 备 !经典

  3. 2012-04-13 12:27 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    嘿嘿

  4. 2012-04-13 14:06 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    这... WooYun: 58同城简历库资源泄漏,绕过限制查任何人简历资料 @xsser 验证了么,标题什么都一样。。。擦

  5. 2012-04-13 15:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye 额 我看的时候还没补,去吐槽58吧...

  6. 2012-04-13 15:21 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @xsser 帮吐,@piaoye 放了工具,爆它菊

  7. 2012-04-13 15:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye @一刀终情 为了考虑两位的感受,这周出来功能,白帽子可以吐槽白帽子,白帽子也可以吐槽厂商了 嘿嘿,敬请期待

  8. 2012-04-13 15:29 | 三叶草 ( 路人 | Rank:14 漏洞数:5 | 幸福是靠自己努力的)

    @xsser 另求能看到自己发的私信功能...

  9. 2012-04-13 16:26 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @xsser 期待中~~说实话,我以前蛮喜欢看CB的评论的,哈哈

  10. 2012-04-13 16:32 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @xsser 我是说这个人提交的完全是照我发的抄的啊。。这也行么?

  11. 2012-04-13 16:33 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye 不是抄袭你的,我验证的时候看到厂商并未修复,后来再看你的

  12. 2012-04-13 16:34 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    还有这bug早已经修复。

  13. 2012-04-13 16:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye 他的图和你的完全不一样,你确认什么时候修复的?现在已经不行了

  14. 2012-04-13 16:42 | mibboy ( 路人 | Rank:13 漏洞数:3 | 空间求友链,低调求发展)

    @piaoye 不好意思,我发的时候没看到哈、是一个朋友发给我的、再说漏洞也没修复嘛,顺便骗个邀请码,何乐而不为呢?

  15. 2012-04-13 17:03 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @xsser 58确认的时候已经修复了、

  16. 2012-04-13 17:04 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @mibboy 好吧,那你也不能照抄啊。。。标题和简介啥的

  17. 2012-04-13 17:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye 我也有责任,没有把之前的看一下 抱歉

  18. 2012-04-13 17:11 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @xsser 客气了,我又没损失什么,借这个提下乌云的验证机制是否需要完善下。总不能让厂商为难吧

  19. 2012-04-13 17:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye 如果厂商积极点反馈就好了

  20. 2012-04-13 17:16 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @xsser 建议给厂商进行收费,类似会员制。费用用于系统完善。

  21. 2012-04-13 17:21 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @piaoye 愿望很美好,现实很艰难

  22. 2012-04-13 17:40 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @xsser 我觉得公布漏洞没得到厂商或者其它的太大奖励,这个平台还是不成功的,小礼品都不是事。

  23. 2012-04-13 17:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @itleaf 我们尽量努力吧,今年一定有不一样的东西出来,拭目以待

  24. 2012-04-13 19:08 | mibboy ( 路人 | Rank:13 漏洞数:3 | 空间求友链,低调求发展)

    @piaoye 我是直接复制朋友发来的放上去,我也不知道这个漏洞你已经发过了、而且他不修复也没办法啊······

  25. 2012-04-14 08:45 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @piaoye @xsser 我也觉得厂商应该贡献点费用~~当然这个平台要独立,所有厂商类似捐款形式,自愿,自发的资助点才好