漏洞概要
关注数(24)
关注此漏洞
漏洞标题:人大附中西山学校家长短信遍历+遍历家长&员工手机号(@黑产)
漏洞作者: 汪哥
提交时间:2014-10-01 17:57
修复时间:2014-11-15 17:58
公开时间:2014-11-15 17:58
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-10-01: 细节已通知厂商并且等待厂商处理中
2014-10-11: 厂商已经确认,细节仅向厂商公开
2014-10-21: 细节向核心白帽子及相关领域专家公开
2014-10-31: 细节向普通白帽子公开
2014-11-10: 细节向实习白帽子公开
2014-11-15: 细节向公众公开
简要描述:
这个洞要在黑产手里估计就把手机号给卖了。
详细说明:
http://sms.rdfzxishan.cn/serverlog.do
查询服务器日志
例如:
然后我深入挖掘发现一个账号:
于是我登陆一下
发现里面有通讯录,感觉黑产的话能有不少钱。。。
就到这里不深入了。
漏洞证明:
修复方案:
版权声明:转载请注明来源 汪哥@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2014-10-11 10:19
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2014-10-01 18:03 |
Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)
有一些人整天在网上黑网站,遇到个人信息下载下来卖钱,遇到密码就放在自己的密码库里用来盗号,这样很不道德,是不对的。我是不一样的,我会立即告诉对方,导致漏洞的问题可能出在哪里,如果已经公布了源代码,我会直接将修补漏洞的文件传过去。
-
2014-10-01 18:04 |
Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)
-
2014-10-01 18:16 |
子非海绵宝宝 
( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2014-10-01 18:19 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
-
2014-10-01 18:21 |
j14n ( 普通白帽子 | Rank:114 漏洞数:23 | 我是一只小小小小鸟....)
-
2014-10-01 18:21 |
咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )
-
2014-10-01 18:25 |
安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)
-
2014-10-01 18:26 |
赈早见琥珀主 ( 实习白帽子 | Rank:33 漏洞数:5 )
只有手机号码有毛线用,人家要的是手机号码加详细资料。还想卖几十万?当别人做数据的都是傻逼?
-
2014-10-01 18:41 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
这种学校网某个二货一交就是666个999个这样。。。。
-
2014-10-01 18:44 |
雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)
有一些人整天在网上黑网站,遇到个人信息下载下来卖钱,遇到密码就放在自己的密码库里用来盗号,这样很不道德,是不对的。我是不一样的,我会立即告诉对方,导致漏洞的问题可能出在哪里,如果已经公布了源代码,我会直接将修补漏洞的文件传过去。
-
2014-10-01 19:57 |
1fn0 ( 路人 | Rank:21 漏洞数:7 | 我是运维 不要开除我)
-
2014-10-01 20:01 |
岩少 ( 普通白帽子 | Rank:586 漏洞数:171 | 破晓团队)
-
2014-10-01 20:01 |
Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)
-
2014-10-01 21:23 |
Haswell ( 普通白帽子 | Rank:167 漏洞数:18 | HorizonSec @ RDFZ)
-
2014-10-01 21:33 |
Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)
-
2014-10-01 21:37 |
Haswell ( 普通白帽子 | Rank:167 漏洞数:18 | HorizonSec @ RDFZ)
咱能不把弱密码说得这么高大上吗。。。。。咱能不提交我们学校12岁小朋友给你看的漏洞吗。。。。。
-
2014-10-01 21:38 |
Haswell ( 普通白帽子 | Rank:167 漏洞数:18 | HorizonSec @ RDFZ)
-
2014-10-01 22:02 |
hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)
-
2014-10-02 00:22 |
咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )
我感觉这要是红衣哥来了。。就是交个小学地址泄露也会有个前台
-
2014-10-02 00:56 |
贫道来自河北 ( 普通白帽子 | Rank:1395 漏洞数:423 | 一个立志要把乌云集市变成零食店的男人)
@咸鱼翻身 你要分人提交的,估计猪猪侠提交个学前班泄密也会前台的
-
2014-10-02 12:05 |
迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)
-
2014-10-02 19:01 |
hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)
-
2014-10-02 19:26 |
gone ( 路人 | Rank:0 漏洞数:1 | 来学习的)
-
2014-10-30 11:09 |
脚本菜菜 ( 路人 | Rank:10 漏洞数:4 | 我只是混个邀请码。)
十几万别逗了。一线城市 一个个市的所有中学数据 联系方式 家庭地址 身份证 学籍号全有才卖几千块 接近一百万数据
-
2014-10-30 11:10 |
脚本菜菜 ( 路人 | Rank:10 漏洞数:4 | 我只是混个邀请码。)
就一个学校数据谁买啊 要搞就搞市教委的学籍管理系统 哈哈
-
2014-11-16 21:53 |
廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)
-
2014-11-24 10:41 |
感染者 ( 路人 | Rank:19 漏洞数:16 | 喜欢探索,愿与君共勉!)
-
2015-07-08 21:36 |
从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)
