某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二（身份证/业主卡号/地址/房东姓名/SIM卡)

admin

139653
文章

114
评论

2017年4月27日21:22:16评论436 views字数 286阅读0分57秒阅读模式

摘要

2016-04-26：细节已通知厂商并且等待厂商处理中
2016-04-26：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-06：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(16) 关注此漏洞

缺陷编号： WooYun-2016-200787

漏洞标题：某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二（身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞作者： 0x 80

提交时间： 2016-04-26 16:03

公开时间： 2016-05-06 01:10

漏洞类型：敏感信息泄露

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(公安部一所)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感信息泄露错误信息未屏蔽用户敏感信息泄漏

1人收藏

漏洞详情

披露状态：

简要描述：

某敏感单位e居卡智能门禁管理系统存在逻辑漏洞导致上万用户敏感信息泄露事件⑵（身份证/业主卡号/地址/房东姓名/SIM卡)

详细说明：

大量法人，企业，小区门禁用户一览无遗 PS:无奈打开源代码，发现惊人一幕这个要是被泄漏出去，危害可想而知

mask 区域

1.http://**.**.**/Login.aspx

mask 区域

*****b25c269ecafc191e62.gif"*****

打开源代码

code 区域

<script type="text/javascript">
         //$(document).ready(function () {
         //    $.ajax({
         //        attachData: "info",
         //        url: "/handler/Login.ashx?t=login&name=shitong&password=tdr123", //请求的action路径
         //        cache: false,
         //        error: function () {//请求失败处理函数
         //            $("#msg").text("用户名或密码填写错误");
         //        },
         //        success: function (data) { //请求成功后处理函数。
         //            if (data.data == 0) {
         //                $("#msg").text("正在转向主页");
         //                window.location.href = "/Index.aspx#index";
         //            } else if (data.data == 1) {
         //                $("#msg").text("用户名或密码填写错误");
         //            } else {
         //                $("#msg").text(data.data);
         //            }
         //        }
         //    });
         //})

mask 区域

*****&password=tdr123", *****

果断登录

共9782条记录，这个数据还要多

mask 区域

*****所  931D85B5  128408  2016-04-14*****
 ***** *****
 *****
 *****
 *****  F3249DB5  127687  2016-04-26 *****
 ***** *****
 *****
 *****
 *****  131F86B5  121356  2016-04-26 *****
 ***** *****
 *****
 *****
 ***** 83679CB5  120309  2016-04-26 14:*****
 ***** *****
 *****
 *****
 *****溪派出所  23879AB5  123524  2016-*****
 ***** *****
 *****
 *****
 *****  744F572E  42547  2016-04-26 1*****
 ***** *****
 *****
 *****
 ***** 6454522E  114167  2016-04-26 14:*****
 ***** *****
 *****
 *****
 ***** D37496B5  126651  2016-04-26 14:*****
 ***** *****
 *****
 *****
 ***** A36F88B5  129345  2016-04-26 14:*****
 ***** *****
 *****
 *****
 *****  E36F90B5  128323  2016-04-05 18*****
 ***** *****
 *****
 *****
 *****  93FF9BB5  129548  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  118689  2016-04-26 14:19:36*****
 ***** *****
 *****
 *****
 *****  3FD92B5  128787  2016-04-26 14:*****
 ***** *****
 *****
 *****
 *****  3E296B5  128503  2016-04-26 14:*****
 ***** *****
 *****
 *****
 *****3D99B5  127292  2016-04-26 14:16:43*****
 **********
 *****所  B3C389B5  126619  2016-04-26*****
 ***** *****
 *****
 *****
 *****  F33893B5  126497  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  33017BBC  119522  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  128476  2016-04-26 14:22:09*****
 ***** *****
 *****
 *****
 *****  117370  2016-04-26 11:50:46*****
 ***** *****
 *****
 *****
 *****  126858  2016-04-26 14:19:38*****
 ***** *****
 *****
 *****
 *****  333494B5  128592  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  E3999DB5  125947  2016-04-26 1*****
 ***** *****
 *****
 *****
 *****  232688B5  127045  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  124188  2016-04-26 14:23:20*****
 ***** *****
 *****
 *****
 *****  123917  2016-03-22 14:31:08*****
 ***** *****
 *****
 *****
 *****  73EA9AB5  127731  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  931296B5  120813  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****  934E85B5  127447  2016-04-26 14*****
 ***** *****
 *****
 *****
 *****7310  2016-04-26 14:28:36    *****

mask 区域

*****c98996488c74d72d68.gif"*****
 **********
 *****f51cd6a2302afa9b8e.gif"*****
 **********
 *****94a21188ccf674c887.gif"*****
 **********
 *****80275d0fe6f9538002.gif"*****
 **********
 *****ca9cf51b0322a0a397.gif"*****
 **********
 *****8e5e970c0594350780.gif"*****

漏洞证明：

mask 区域

*******.**/Login.a*****

修复方案：

版权声明：转载请注明来源 0x 80@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-05-06 01:10

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(16) 关注此漏洞

缺陷编号： WooYun-2016-200787

漏洞标题： 某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二（身份证/业主卡号/地址/房东姓名/SIM卡)

相关厂商： 某敏感单位e居卡智能门禁管理系统

漏洞作者： 0x 80

提交时间： 2016-04-26 16:03

公开时间： 2016-05-06 01:10

漏洞类型： 敏感信息泄露

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(公安部一所)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 敏感信息泄露 错误信息未屏蔽 用户敏感信息泄漏

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 0x 80@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(16) 关注此漏洞

漏洞标题：某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二（身份证/业主卡号/地址/房东姓名/SIM卡)

相关厂商：某敏感单位e居卡智能门禁管理系统

漏洞类型：敏感信息泄露

危害等级：高

漏洞状态：已交由第三方合作机构(公安部一所)处理

Tags标签：敏感信息泄露错误信息未屏蔽用户敏感信息泄漏

漏洞评价(共0人评价):

登陆后才能进行评分