当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07634

漏洞标题:万网某处用户身份证信息企业信息泄露

相关厂商:万网

漏洞作者: momo

提交时间:2012-05-29 12:48

修复时间:2012-06-03 12:49

公开时间:2012-06-03 12:49

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-29: 细节已通知厂商并且等待厂商处理中
2012-06-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今天听说万网能注册cn域名了,就注册了个,然后就有了如下的发现

详细说明:

随意注册一个万网的会员,然后登陆,再然后访问以下页面
http://nap.www.net.cn:8180/nap-front/register/register!checkFilePicture.action?fileId=13977200
fileId=13977200 这个参数可以随意修改进行查看任意用户的身份证照片信息和企业执照的相关信息

漏洞证明:



修复方案:

设置访问权限

版权声明:转载请注明来源 momo@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-06-03 12:49

厂商回复:

漏洞Rank:12 (WooYun评价)

最新状态:

2012-06-05:漏洞已经修补完成

漏洞评价:

评论

  1. 2012-05-29 14:47 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    深圳人民发来贺电!

  2. 2012-05-29 17:03 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    深圳市罗湖区仁爱妇科发来贺电

  3. 2012-05-29 17:03 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @Max 做SEO的?

  4. 2012-05-29 17:13 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    @zeracker 你猜错了,我是做多媒体解决方案的。

  5. 2012-05-29 17:22 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @zeracker @Max 深圳的黑客就是多。

  6. 2012-05-29 17:23 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @momo 广州杭州的更多。

  7. 2012-05-29 17:28 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    @momo @zeracker the more the better

  8. 2012-05-29 22:50 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    万网还不修复啊?晕,不重视安全,就知道赚钱!

  9. 2012-05-30 07:05 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @momo 中国人哪个老板不想赚更多的钱

  10. 2012-06-01 22:07 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @邪少 哈哈,万网的态度很差。

  11. 2012-06-03 13:22 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    我怎么觉得这向公众公开是故意的…

  12. 2012-06-03 13:22 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    我们去提起公开诉讼吧,告万网对用户信息不作为,泄露他人信息……

  13. 2012-06-03 14:32 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser 万网说他们没有收到提醒,从披露日期看是自动公开的。莫非之前注册乌云的是临时工?

  14. 2012-06-03 19:46 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    @imlonghao 嗯 估计那个临时工合同到期 跑路了~·

  15. 2012-06-03 19:48 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @梦想肥羊 @imlonghao 已经沟通完了,被楼上猜对了

  16. 2012-06-03 21:22 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    貌似旺旺已经偷偷的修复了!

  17. 2012-06-04 07:58 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @xsser 呵呵。