漏洞概要
关注数(24)
关注此漏洞
漏洞标题:金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)
提交时间:2016-04-30 10:34
修复时间:2016-05-09 09:00
公开时间:2016-05-09 09:00
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
求个20
详细说明:
http://android.myapp.com/myapp/detail.htm?apkName=com.example.jindou
下载APP
1.越权问题,APP多接口可越权,并能通过burpsuite遍历获取用户数据
例如
获取用户资料接口
查看返回数据包涵那些数据(这是user_id=110077的返回数据)
由上往下分别是
银行卡号,邮箱,身份证,手机号,还有一个手机验证的密码(不知道用来干啥),学信网账号跟密码
遍历user_id
这边只列出银行卡号跟身份证号还有姓名
甚至还有用户学信网的账号跟密码
可登陆查看学信档案
身份证图片文件未授权访问。同样能遍历
手持身份证图片
学生证
身份证图片
同样能遍历,遍历链接中的user_id(上面的userid是110077)
例如
全站数据,不是问题
3.紧急联系人越权获取
同样能遍历,就不演示了
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-05-09 09:00
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无
漏洞评价:
评价