当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100859

漏洞标题:嘀嗒拼车某逻辑漏洞泄露用户敏感信息第二弹(包括车主证件)

相关厂商:didapinche.com

漏洞作者: 路人甲

提交时间:2015-03-12 10:42

修复时间:2015-03-17 10:44

公开时间:2015-03-17 10:44

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上一弹:
http://www.wooyun.org/bugs/wooyun-2015-099583
这次不用 SQL 注入, 直接获得任何车主的证件信息, 任意乘客的地理位置, 姓名, 照片, 性别, 电话, 邮箱....
这要是被猎头利用了....

详细说明:

App 调用的很多 api 设计有缺陷, 在很多 api 中看到用户的详细信息
比如获得用户的详细信息
http://211.151.134.220:9010/V3/User/getUserSimpleInfo
比如获得附近的拼单
http://211.151.134.220:9010/V3/BookingDriver/getNearbyBookingRideList
举例的这两个 api 构成一个完整的穷举链条
通过手动设置任何经纬度的拼单列表 /BookingDriver/getNearbyBookingRideList, 我们可以获得 任意地点的 user 的 id (user_cid) , 通过 /User/getUserSimpleInfo 可以查看详细的用户信息.
POST 的 parameter 中 vkey 的逻辑可以很简单的逆向获得.
比如 ts 获得时间戳 20150312005446
vkey 的生成逻辑是:
MD5计算(MD5计算('BOOKING_APP'+'20150312005446').大写()+'kx123456789012345678901234567890').大写()
其他比如 token, user_cid 也很简单的可以登录获得.

漏洞证明:

比如上一弹中的 469c6750-4ba2-49ce-8baa-43e8640229ac

QQ20150312-1.png


行驶证什么不直接证明了
简单的 EXP (需要你自己提供登录后的 token 和 user_cid)
http://pastie.org/10019970

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-17 10:44

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-18 09:03 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    很好奇vkey 的生成逻辑是怎么弄出来的?