漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0106349
漏洞标题:泰康人寿部分电子保单泄露(包括姓名、身份证号、邮箱等)
相关厂商:taikang.com
漏洞作者: netwind
提交时间:2015-04-07 10:42
修复时间:2015-05-22 11:48
公开时间:2015-05-22 11:48
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-07: 细节已通知厂商并且等待厂商处理中
2015-04-07: 厂商已经确认,细节仅向厂商公开
2015-04-17: 细节向核心白帽子及相关领域专家公开
2015-04-27: 细节向普通白帽子公开
2015-05-07: 细节向实习白帽子公开
2015-05-22: 细节向公众公开
简要描述:
泰康人寿部分电子保单泄露(包括姓名、身份证号、邮箱等)
详细说明:
可以直接访问保单信息,同时可以下载带有电子签名的电子保单
http://csm.taikang.com/ec/csm/query/policynew.jsp?policyno=2801014476254&id=53010219880612372x&ctype=01&md5sign=d6fa35ead16f0493c1c1ab3a525dd418
http://csm.taikang.com/ec/csm/query/policynew.jsp?policyno=2807111974873&id=422626196302170229&ctype=01&md5sign=7e8067e0ae6f83d074427c0fc0b9314b
http://csm.taikang.com/ec/csm/query/policynew.jsp?policyno=2816015503400&id=533525197612081220&ctype=01&md5sign=6a6a7fa5ce640aa197150e51e78ab4b3
http://csm.taikang.com/ec/csm/query/policynew.jsp?policyno=2816014194518&ctype=01&md5sign=b17dc783a45e282c0fe9786a9140db0f&md5s=123
http://csm.taikang.com/ec/csm/query/policynew.jsp?policyno=28040117881379&id=441900200603030873&ctype=01&md5sign=77c86b5898cea35bfee4a5e682e9a754
http://csm.taikang.com/ec/csm/query/policynew.jsp?policyno=28010111649884&id=220802198111191828&ctype=01&md5sign=e243cc5fd2f50dd5363dd19b12359423
漏洞证明:
以第一个人保单截图证明:
修复方案:
加强访问控制
版权声明:转载请注明来源 netwind@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-04-07 11:47
厂商回复:
泰康人寿感谢您发现并提交给我们,已安排处理!
最新状态:
暂无