漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0100475
漏洞标题:辽宁联通微信服务号可遍历查询手机用户当月话费与套餐使用情况
相关厂商:辽宁联通
漏洞作者: 骄阳
提交时间:2015-03-10 11:57
修复时间:2015-04-24 11:58
公开时间:2015-04-24 11:58
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:8
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-10: 细节已通知厂商并且等待厂商处理中
2015-03-15: 厂商已经确认,细节仅向厂商公开
2015-03-25: 细节向核心白帽子及相关领域专家公开
2015-04-04: 细节向普通白帽子公开
2015-04-14: 细节向实习白帽子公开
2015-04-24: 细节向公众公开
简要描述:
辽宁联通微信服务号存在用户话费、套餐使用量泄露问题,可以通过URL修改查询手机号码来查看其他用户的当月话费与套餐使用量,典型的直接对象引用的漏洞。
详细说明:
1.在微信中关注“辽宁联通”微信服务号。
2.进入辽宁联通微信服务号。
3.点击“沃的服务”菜单,选择“业务查询”子菜单。
4.在服务平台的聊天框中点击“请点击这里进行身份绑定后享受更多服务"
5.阅读绑定协议并点击“同意绑定”
6.点击“沃的服务”菜单,选择“业务查询”子菜单。
7.点击聊天框中的“话费查询”,将看到当月已使用话费与余额。
8.点击屏幕右上角“┆”,在弹出的菜单中选择“在浏览器中打开”。
9.在浏览器地址栏中修改mid参数值,把手机号码修改为你要查询用户的手机号码。
10.回车后可以看到对方当月使用话费与余额,在测试过程中发现通过该方法可以遍历130号段的号码,其他号段的无效,如131,也可能我使用的号码是130的号段,再遍历别人的也必须是130的,套餐查询方法相似就不一一列举类
最简单的办法直接在浏览器中输入
http://weixin.linktech.hk/businessQueryController.do?action=goToteleChargeJsp&mid=13066612345&wxid=16dc648f-c776-4e5f-9fb0-e675caae6abf&sign=d206da41ca2ae3807090319d95da0258&openid=ojJL_jvI54OzhYWz_bnWE1BYVESs
mid是手机号码,130不要换,后面666号段是沈阳的最好也不换,再之后的随意换
漏洞证明:
修复方案:
需要验证微信签名sign,防止url被篡改。
版权声明:转载请注明来源 骄阳@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-03-15 09:47
厂商回复:
最新状态:
暂无