漏洞概要
关注数(24)
关注此漏洞
漏洞标题:两性私人医生设计不当大量用户隐私信息泄露
提交时间:2015-03-27 11:27
修复时间:2015-05-11 13:26
公开时间:2015-05-11 13:26
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-03-27: 厂商已经确认,细节仅向厂商公开
2015-04-06: 细节向核心白帽子及相关领域专家公开
2015-04-16: 细节向普通白帽子公开
2015-04-26: 细节向实习白帽子公开
2015-05-11: 细节向公众公开
简要描述:
两性私人医生设计不当大量用户隐私信息泄露
有些东西看后好羞涩~
详细说明:
1、下载app,然后成功注册。(这里注册的只需要提供一个用户名和一个密码即可成功注册)
2、里面有好几个板块,直接抓包看数据,首先是【个人中心】界面
3、抓包数据如下
看了整个post的请求,并没有很好的安全设置,那么修改userid即可遍历用户的信息了
漏洞证明:
1、遍历ID即可获取个人中心的数据
数据中包含了用户名,电话(非必填项),地址等等~结合以下的操作,危害更大
2、由于是在线咨询,某些用户的信息未必准确(未对手机进行验证)。接着看看其他几个地方的隐私泄露又是怎么样的。
【我的咨询】这里不需要修改userid,直接修改chatid即可遍历了~
看看效果,根据返回长度,选择一条长度最大的看看内容
解密一下看看,【良心打码,我不是故意的】
【我的消息】不一一证明了~
【我的预约】同上
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2015-03-27 13:25
厂商回复:
多谢,已经针对问题进行了修整。请再接再厉
最新状态:
暂无
漏洞评价:
评论