当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057945

漏洞标题:中国邮政某基础服务设计缺陷可遍历部分他人详细信息

相关厂商:中国邮政集团公司信息技术局

漏洞作者:

提交时间:2014-04-21 18:33

修复时间:2014-06-05 18:34

公开时间:2014-06-05 18:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-21: 细节已通知厂商并且等待厂商处理中
2014-04-22: 厂商已经确认,细节仅向厂商公开
2014-05-02: 细节向核心白帽子及相关领域专家公开
2014-05-12: 细节向普通白帽子公开
2014-05-22: 细节向实习白帽子公开
2014-06-05: 细节向公众公开

简要描述:

遍历详细地址,包含:姓名,手机号码,电子邮箱

详细说明:

http://add.11185.cn/vir_add_front/owner/addressService.a
中国邮政网上营业厅 - 虚实地址服务
虚实地址服务是邮政在互联网时代为用户提供的基于地址的基础服务。用户注册后可将手机号、QQ号、邮箱账号等虚拟账号信息与自己的实际地址进行绑定,绑定后可以直接使用虚拟账号信息(手机、QQ、邮箱)做为自己的收件地址,便捷安全。我们还将为完成身份认证和地址校验的用户分配您个人专属的POST ID ,届时您可以使用我们在社交平台、电商平台、本地生活、邮政服务等各个领域为您带来的便捷安全的贴心服务。

q1.jpg


首先你要注册一个帐号,并且有一只可以接收验证码的手机..

q2.jpg


(所在地区,详细地址,收货人姓名,电子邮箱)都可以先乱填一个,
但是手机号要填写正确的,因为要用来接收验证码..获取到验证码之后点击保存

q3.jpg


然后我们点击修改地,抓包获取到一个GET请求

GET /vir_add_front/owner/addressCenter.a?id=963 HTTP/1.1
Host: add.11185.cn
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.36
Referer: http://add.11185.cn/vir_add_front/owner/addressCenter.a
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8


直接修改addressCenter.a?id=963,修改成想要遍历的用户id
addressCenter.a?id=961

q6.jpg


addressCenter.a?id=949

949.jpg


addressCenter.a?id=943

943.jpg


有一些ID遍历不到,可能是因为没有填写收货地址...
然后我只要用burpsuite跑一下,就可以跑出有填写收货地址的id了..

958.jpg


我的burpsuite有乱码,懒得弄..访问网页的话看是正常

q13.jpg


漏洞证明:

见详细说明
有没有20RANK?

修复方案:

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-04-22 09:09

厂商回复:

谢谢

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-21 19:41 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    前排拉皮条,楼主要小姐吗