当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138692

漏洞标题:某省交警公共服务平台业务漏洞导致可查询全省车辆部分信息(星号保护)

相关厂商:某省交警公共服务平台

漏洞作者: joey

提交时间:2015-09-03 08:55

修复时间:2015-10-22 14:00

公开时间:2015-10-22 14:00

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-03: 细节已通知厂商并且等待厂商处理中
2015-09-07: 厂商已经确认,细节仅向厂商公开
2015-09-17: 细节向核心白帽子及相关领域专家公开
2015-09-27: 细节向普通白帽子公开
2015-10-07: 细节向实习白帽子公开
2015-10-22: 细节向公众公开

简要描述:

交警公共服务平台应用存在未授权漏洞,导致可查询全省车辆信息

详细说明:

漏洞1:应用中接口处没有严格限制使用手机号login,出现了序列化的id,同时没有限制请求的ip,导致了可以尝试简单密码的login测试,成功后,能取得相应的电话及注册人相应,及绑定的车辆和驾照信息。
应用中使用的界面:

pic1.PNG


pic2.png


pic3.png


请求中可以序列化和经过sh256加密的密码:

login_request.png


成功请求的响应:

login_response.png


使用burpsuite简单测试login简单密码:

login_burp.png


漏洞2:应用存在未授权漏洞,导致可查询四川全省车辆信息。本来绑定了车辆的用户只能查询本人名下车辆的信息,但是后台没有对请求进行验证,导致可查询四川省任意车辆信息。好在对于车架号和手机号码进行了一定的打码,否则危害更加大。
首先发送请求得到cookie:

chepai1.png


根据cookie查询车牌信息:

chepai2.png


漏洞证明:

经过了上面的测试,使用代码来简单测试:
1.使用简单密码111111,000000,666666,88888,8888888测试了1000多个id,成功获取了一部份用户的手机号和密码信息。
代码:
https://**.**.**.**/joeyxy/python/blob/master/crawler/xmjx/xmjx_get_user2.py

login_code.png


2.login后,可查询任意车牌的信息。
代码:
https://**.**.**.**/joeyxy/python/blob/master/crawler/xmjx/xmjx_chachepai.py

chepai_code.png

修复方案:

1.限制接口中使用id进行login,只能使用手机号。
2.后台对请求查询的车牌进行权限验证。

版权声明:转载请注明来源 joey@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-07 13:59

厂商回复:

感谢提交!!
验证确认所描述的问题,已通知其修复。

最新状态:

暂无


漏洞评价:

评论