当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0209380

漏洞标题:电影安全之大地影院全站用户数据泄露/真实姓名/手机号/身份证/以及一切消费记录

相关厂商:大地影院

漏洞作者: 路人甲

提交时间:2016-05-16 18:53

修复时间:2016-07-02 13:30

公开时间:2016-07-02 13:30

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-16: 细节已通知厂商并且等待厂商处理中
2016-05-18: 厂商已经确认,细节仅向厂商公开
2016-05-28: 细节向核心白帽子及相关领域专家公开
2016-06-07: 细节向普通白帽子公开
2016-06-17: 细节向实习白帽子公开
2016-07-02: 细节向公众公开

简要描述:

详细说明:

2006年至今,大地秉承服务大众的理念,与众多地产商携手建造了200家连锁影院(地图),舒适便捷年轻时尚是这些影院共有的标签 大地不仅见证了中国电影产业的复兴,也助力了中国商业地产的繁荣。

漏洞证明:

有时候,管理员的备份文件,恰恰包含了所有用户的信心,而管理员未及时删除。这便造成了以及极大的危害。入侵者可能只需要下载文件,就完成了脱裤。
本次检测,源于一个备份文件。又是又是又是又是备份文件惹的祸?!

mask 区域 
1.http://**.**.**/db.rar  --->>>  http://data.dadicinema.com/


1.png


2.png


近2G的文件。
使用超大文件打开器后查看...很多乱码....顿时心凉了一半,也为厂商高兴了许多....
但是!!
翻着翻着,发现了泄露的信息....各种用户的真实姓名,手机号码,以及身份证号码!!!
以及更多的用户消费细节。应该是通过大地影院观看的朋友们,信息都泄露了。
通过转码,其他的乱码应该是可以还原的。只是为了证明漏洞存在,问题存在影响性。未深入。下载的数据库截图之后我也已经删除。望厂商及时修复~
截几张图证明信息的泄露!
用户信息~

3.png

4.png


5.png

6.png

7.png

8.png

9.png


消费记录~

10.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-05-18 13:28

厂商回复:

确认漏洞存在,高风险。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-05-18 13:27 | 大地影院(乌云厂商)

    确认漏洞存在,正组织资源解决。感谢漏洞发现者和WooYun!

  2. 2016-05-18 13:55 | yuhan ( 普通白帽子 | Rank:144 漏洞数:40 | 一切的信息均可以深入,而一切的深入都没有...)

    @大地影院 有小礼物吗?哈哈O(∩_∩)O~