当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104912

漏洞标题:龙湖地产后台2.2万应聘简历未授权访问(姓名电话身份证地址..)

相关厂商:龙湖地产有限公司

漏洞作者: prolog

提交时间:2015-03-31 10:04

修复时间:2015-05-15 10:06

公开时间:2015-05-15 10:06

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

龙湖地产有限公司(香港联交所股份代码:960),创建于1993年,成长于重庆,发展于全国,是一家追求卓越、专注品质和细节的专业地产公司。龙湖在地产中国网举办的红榜评选活动中,两次上榜。 2011年被评为最具风险控制能力的多业态领军企业”; 2010年被评为最具成长性的标杆企业。集团总部设在北京,现有员工12012多人,业务领域涉及地产开发、商业运营和物业服务三大板块。累计已开发项目超过100个,建筑面积超过2000万平方米,待开发土地储备约3949余万平方米,年销售额达481亿元人民币[1] ,公司于2009年11月19日在香港联交所主板挂牌上市。
--------好牛逼,怪不得简历那么多

详细说明:

后台的url没有范围控制,cid是顺序的,试出了访问的简历id范围[86355,108650]
http://www.zhaopin.longfor.com/manager/print/yulan.aspx?cid=86355
...
http://www.zhaopin.longfor.com/manager/print/yulan.aspx?cid=108650

漏洞证明:

dc.PNG

修复方案:

权限控制

版权声明:转载请注明来源 prolog@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2015-04-07 16:36 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    @灰色地带 你是认真的吗

  2. 2015-04-07 16:40 | 灰色地带 ( 路人 | Rank:2 漏洞数:1 | 加qq 5737796发红包)

    @prolog 未必很多人闲的无聊用这个打发时间?

  3. 2015-05-15 14:46 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    @疯狗 这个不补rank么。。。

  4. 2015-05-15 20:17 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    @浩天 求补rank..