漏洞概要
关注数(24)
关注此漏洞
漏洞标题:爱康国宾某处权限绕过导致用户敏感信息泄露
提交时间:2014-07-21 18:38
修复时间:2014-09-04 18:40
公开时间:2014-09-04 18:40
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-07-21: 细节已通知厂商并且等待厂商处理中
2014-07-23: 厂商已经确认,细节仅向厂商公开
2014-08-02: 细节向核心白帽子及相关领域专家公开
2014-08-12: 细节向普通白帽子公开
2014-08-22: 细节向实习白帽子公开
2014-09-04: 细节向公众公开
简要描述:
爱康国宾某处权限绕过 导致大量用户敏感信息泄露,目测1200万个人用户信息
详细说明:
# 登陆我的爱康后,订单号越权查看用户信息
http://my.ikang.com/memberService/view/findExamRecordDetail?examid=12279725
http://my.ikang.com/memberService/view/findExamRecordDetail?examid=12279726
姓名、身份证、手机号、联系地址、病例等
漏洞证明:
修复方案:
版权声明:转载请注明来源 猪猪侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-07-23 10:47
厂商回复:
漏洞描述和发现得很客观,对我公司进行修复工作很有利,确认顺序操作出现差异,请理解,谢谢!
最新状态:
暂无
漏洞评价:
评论
-
2014-07-20 23:18 |
袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)
上次骨折后去爱康国宾体检,我靠,完全没有检查出来有问题。
-
2014-07-20 23:31 |
HackPanda ( 普通白帽子 | Rank:113 漏洞数:15 | Talk is cheap,show me the shell.)
-
2014-07-21 00:18 |
刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)
-
2014-07-21 00:24 |
记得 ( 路人 | Rank:8 漏洞数:3 | 人 生 若 只 如 初 見)
-
2014-07-21 07:16 |
果冻好吃 ( 路人 | Rank:22 漏洞数:11 | 大学通知书下来那天,我迫不及待的用四百块...)
-
2014-07-21 07:53 |
安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)
-
2014-07-21 09:16 |
路人N ( 路人 | Rank:12 漏洞数:8 )
-
2014-07-21 09:28 |
秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
-
2014-07-21 09:47 |
裙下的秘密 ( 实习白帽子 | Rank:83 漏洞数:9 | )
-
2014-07-21 09:47 |
terrying ( 实习白帽子 | Rank:59 漏洞数:15 | 雅蠛蝶)
-
2014-07-21 10:19 |
winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)
-
2014-07-21 11:17 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2014-07-21 11:22 |
Hobby ( 路人 | Rank:0 漏洞数:1 | 酱油帝)
-
2014-07-21 11:26 |
Hobby ( 路人 | Rank:0 漏洞数:1 | 酱油帝)
@xsser @疯狗 @猪猪侠 我有此厂商的漏洞,可获取病历信息,怕发出来被down走。求联系厂商修复
-
2014-07-21 11:55 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2014-07-21 12:37 |
猪猪侠 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)
-
2014-07-21 13:36 |
啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )
-
2014-07-21 15:15 |
Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)
突然发现···1200W。。还好没进过大医院啊···
-
2014-07-21 16:53 |
瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)
可否告诉我为什么你们的待认领或者什么状态都可以在乌云首页显示,我提交的却从未出现在首页呢?
-
2014-07-21 18:52 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2014-07-21 18:52 |
U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)
-
2014-07-21 18:58 |
Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)
导致大量用户敏感信息泄露,目测1200万个人用户信息,围观
-
2014-07-21 19:11 |
HackPanda ( 普通白帽子 | Rank:113 漏洞数:15 | Talk is cheap,show me the shell.)
-
2014-07-21 19:17 |
zph ( 普通白帽子 | Rank:235 漏洞数:43 )
-
2014-07-21 19:40 |
我是小号 ( 普通白帽子 | Rank:334 漏洞数:51 | Martin)
-
2014-07-21 19:45 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
-
2014-07-21 20:10 |
动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)
-
2014-07-21 20:25 |
U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)
-
2014-07-21 20:58 |
从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)
-
2014-07-21 21:03 |
啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )
@从容 体检机构的病例没多大用处的,体检机构重要的是体检报告...
-
2014-07-21 22:12 |
乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )
-
2014-07-21 23:02 |
瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)
@乐乐、 还发现一个很明显的区别,需要获取邀请码的漏洞审核要很久,登陆后提交的漏洞,当天就可以审核。。
-
2014-07-21 23:15 |
ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)
-
2014-07-22 08:07 |
乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )
@瓦解° 现在不比以前 以前白帽子少 审核的也少 速度还好,获取邀请码一到两天就可以,也要看漏洞质量和危害,现在就不清楚了。白帽子多 审核的还那么少,审核起来速度自然慢了不少。不然也不会那么多人天天在社区发月经贴了。
-
2014-07-22 09:34 |
Image ( 路人 | 还没有发布任何漏洞 | I'm Image)
-
2014-07-22 10:26 |
魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)
-
2014-07-22 10:28 |
魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)
@瓦解° 一般影响力较大的漏洞都会在首页,不然上不了首页
-
2014-07-22 11:04 |
啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )
@Image 1200万是注册信息,体检报告有3000多万
-
2014-07-22 19:02 |
Annabelle ( 实习白帽子 | Rank:46 漏洞数:15 | .)
-
2014-07-26 21:52 |
tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)
-
2014-08-29 23:48 |
黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)
-
2014-09-04 22:48 |
Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)
