漏洞概要
关注数(24)
关注此漏洞
漏洞标题:超级课程表某主营业务逻辑缺陷导致全体用户真实姓名手机和QQ隐私泄露
提交时间:2015-08-31 17:39
修复时间:2015-09-05 17:40
公开时间:2015-09-05 17:40
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-08-31: 细节已通知厂商并且等待厂商处理中
2015-09-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
超级课程表某主营业务,泄露全体用户真实姓名和手机和QQ等隐私信息。
详细说明:
超级社团是超级课程表主营业务,截止至目前已有4万多个社团加入。
主要功能之一就是:方便用户寻找社团内其他用户的联系方式,包括QQ和手机号码和短号,其中还包括用户的院系和社团名称和社团职位等信息,这些信息对于社团内部成员来说是公开的,但对于社团外的人来说,这便是隐私。
进入超级社团后有一个大大的按钮——“导出通讯录”
链接格式如下:
经简单研究发现clubId为社团id,clubPeriodId为社团周期id。
当一个社团被新建时,clubId自增,clubPeriodId也自增。
当一个社团被删除时,clubId自减,clubPeriodId不变。
更多详细规则,就不在此阐述,直接上POC,以下是获取获取正确的clubId和clubPeriodId对应关系的代码(已避免盲目暴力破解):
漏洞证明:
http://club.super.cn/Excel/exportClubContacts.xls?clubId=28027&clubPeriodId=29029
http://club.super.cn/Excel/exportClubContacts.xls?clubId=23784&clubPeriodId=24699
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-09-05 17:40
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论