漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0100859
漏洞标题:嘀嗒拼车某逻辑漏洞泄露用户敏感信息第二弹(包括车主证件)
相关厂商:didapinche.com
漏洞作者: 路人甲
提交时间:2015-03-12 10:42
修复时间:2015-03-17 10:44
公开时间:2015-03-17 10:44
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
上一弹:
http://www.wooyun.org/bugs/wooyun-2015-099583
这次不用 SQL 注入, 直接获得任何车主的证件信息, 任意乘客的地理位置, 姓名, 照片, 性别, 电话, 邮箱....
这要是被猎头利用了....
详细说明:
App 调用的很多 api 设计有缺陷, 在很多 api 中看到用户的详细信息
比如获得用户的详细信息
http://211.151.134.220:9010/V3/User/getUserSimpleInfo
比如获得附近的拼单
http://211.151.134.220:9010/V3/BookingDriver/getNearbyBookingRideList
举例的这两个 api 构成一个完整的穷举链条
通过手动设置任何经纬度的拼单列表 /BookingDriver/getNearbyBookingRideList, 我们可以获得 任意地点的 user 的 id (user_cid) , 通过 /User/getUserSimpleInfo 可以查看详细的用户信息.
POST 的 parameter 中 vkey 的逻辑可以很简单的逆向获得.
比如 ts 获得时间戳 20150312005446
vkey 的生成逻辑是:
MD5计算(MD5计算('BOOKING_APP'+'20150312005446').大写()+'kx123456789012345678901234567890').大写()
其他比如 token, user_cid 也很简单的可以登录获得.
漏洞证明:
比如上一弹中的 469c6750-4ba2-49ce-8baa-43e8640229ac
行驶证什么不直接证明了
简单的 EXP (需要你自己提供登录后的 token 和 user_cid)
http://pastie.org/10019970
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-03-17 10:44
厂商回复:
最新状态:
暂无