漏洞概要
关注数(24)
关注此漏洞
漏洞标题:婚礼纪安卓APP数据非授权访问导致大量用户数据等资料泄露
提交时间:2015-05-04 14:31
修复时间:2015-06-18 14:50
公开时间:2015-06-18 14:50
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-05-04: 细节已通知厂商并且等待厂商处理中
2015-05-04: 厂商已经确认,细节仅向厂商公开
2015-05-14: 细节向核心白帽子及相关领域专家公开
2015-05-24: 细节向普通白帽子公开
2015-06-03: 细节向实习白帽子公开
2015-06-18: 细节向公众公开
简要描述:
安卓APP在获取已登录用户数据时采用的是GET请求,且未做权限控制,返回数据包含用户手机号
详细说明:
百科介绍:婚礼纪是一款用于婚礼筹备与记录的移动应用,由杭州火烧云科技有限公司推出。其专注婚礼行业垂直细分市场,帮助新人解决婚礼筹备与记录的难题。集婚礼工具(富媒体请柬)、婚礼行业商家展示、婚品导购、社区分享为一体的跨平台移动婚礼应用。
漏洞证明:
登录后点击底部菜单栏“我的”,通过抓包工具看到是通过GET请求获取当前用户信息的
抓包:
下面来构造个循环获取数据,
插入数据库:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-05-04 14:48
厂商回复:
用户的事无小事,涉及到用户隐私,是比较严重的问题了。
最新状态:
2015-05-12:漏洞已经修复,非常感谢作者对我们信息安全的帮助
漏洞评价:
评论
-
2015-05-04 11:47 |
姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)
-
2015-05-04 12:21 |
马云 ( 路人 | Rank:10 漏洞数:5 | 啪啪啪啪啪啪啪啪)
-
2015-05-04 14:41 |
孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)
-
2015-05-04 14:46 |
1937nick ( 实习白帽子 | Rank:97 漏洞数:32 | 水能载舟,亦能煮粥。物尽其用,人尽其能。)
-
2015-05-04 15:01 |
prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)
-
2015-05-04 15:03 |
浮世浮城 ( 普通白帽子 | Rank:284 漏洞数:60 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)
-
2015-05-04 15:34 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2015-05-04 15:48 |
Chinalover ( 路人 | Rank:16 漏洞数:4 | 你看得到我打在屏幕上的字,却看不到我落在...)
-
2015-05-04 16:39 |
xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)