神刀安全网

漏洞标题: 某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞详情

披露状态:

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-05-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某敏感单位e居卡智能门禁管理系统存在逻辑漏洞导致上万用户敏感信息泄露事件⑵(身份证/业主卡号/地址/房东姓名/SIM卡)

详细说明:

大量法人,企业,小区门禁用户一览无遗 PS:无奈打开源代码,发现惊人一幕 这个要是被泄漏出去,危害可想而知

http://**.**.**.**/Login.aspx

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

打开源代码

code 区域
<script type="text/javascript">
//$(document).ready(function () {
// $.ajax({
// attachData: "info",
// url: "/handler/Login.ashx?t=login&name=shitong&password=tdr123", //请求的action路径
// cache: false,
// error: function () {//请求失败处理函数
// $("#msg").text("用户名或密码填写错误");
// },
// success: function (data) { //请求成功后处理函数。
// if (data.data == 0) {
// $("#msg").text("正在转向主页");
// window.location.href = "/Index.aspx#index";
// } else if (data.data == 1) {
// $("#msg").text("用户名或密码填写错误");
// } else {
// $("#msg").text(data.data);
// }
// }
// });
//})

code 区域
handler/Login.ashx?t=login&name=shitong&password=tdr123", //请求的action路径

果断登录

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

共9782条记录,这个数据还要多

code 区域
叶国忠   330302194301210436   瓯海区  开发区派出所  931D85B5  128408  2016-04-14 13:49:25    在使用    已安装回填    


2 仇恒宝 342422198105276393 瓯海区 开发区派出所 F3249DB5 127687 2016-04-26 14:21:01 在使用 已安装回填


3 杨德来 342422199006127813 瓯海区 开发区派出所 131F86B5 121356 2016-04-26 14:20:30 在使用 已安装回填


4 陈再成 330325196901302418 瑞安市 莘塍派出所 83679CB5 120309 2016-04-26 14:20:34 在使用 已安装回填


5 温州市金牛电镀有限公司 330321197612026014 瓯海区 郭溪派出所 23879AB5 123524 2016-03-22 14:30:41 在使用 已安装回填


6 郑加仁 330302196407076510 鹿城区 双屿派出所 744F572E 42547 2016-04-26 14:20:47 在使用 已安装回填


7 郑周汉 330302194003166510 鹿城区 双屿派出所 6454522E 114167 2016-04-26 14:21:58 在使用 已安装回填


8 潘良光 51152119900607140X 瑞安市 鲍田派出所 D37496B5 126651 2016-04-26 14:25:46 在使用 已安装回填


9 陈云朝 330321195302220613 瓯海区 瞿溪派出所 A36F88B5 129345 2016-04-26 14:25:06 在使用 已安装回填


10 陈志坚 330321195407120651 瓯海区 瞿溪派出所 E36F90B5 128323 2016-04-05 18:45:45 在使用 已安装回填


11 王志仙 330325196612036715 瓯海区 瞿溪派出所 93FF9BB5 129548 2016-04-26 14:20:29 在使用 已安装回填


12 陈绍栋 瑞安市 飞云派出所 E38479BC 118689 2016-04-26 14:19:36 在使用 已安装回填


13 郑微微 330302194608014421 瓯海区 景山派出所 3FD92B5 128787 2016-04-26 14:24:05 在使用 已安装回填


14 金玉文 330302195108154430 瓯海区 景山派出所 3E296B5 128503 2016-04-26 14:18:28 在使用 已安装回填


15 朱建锋 330303197701300334 龙湾区 蒲州派出所 933D99B5 127292 2016-04-26 14:16:43 在使用 已安装回填

code 区域
潘春云   330302196403074411   瓯海区  景山派出所  B3C389B5  126619  2016-04-26 14:19:19    在使用    已安装回填    


17 徐笑华 330302194405044428 瓯海区 景山派出所 F33893B5 126497 2016-04-26 14:26:25 在使用 已安装回填


18 寿远兴 330325196402010015 瑞安市 玉海派出所 33017BBC 119522 2016-04-26 14:19:43 在使用 已安装回填


19 万国球 乐清市 石帆派出所 33AD89B5 128476 2016-04-26 14:22:09 在使用 已安装回填


20 陈万海 瑞安市 汀田派出所 E3297BBC 117370 2016-04-26 11:50:46 在使用 已安装回填


21 丁巧弟 瑞安市 锦湖派出所 932885B5 126858 2016-04-26 14:19:38 在使用 已安装回填


22 李知生 330302195707234854 鹿城区 莲池派出所 333494B5 128592 2016-04-26 14:20:10 在使用 已安装回填


23 l赖富明 330302195311204819 鹿城区 莲池派出所 E3999DB5 125947 2016-04-26 14:21:22 在使用 已安装回填


24 沈庆桃 330302195206085213 瓯海区 瞿溪派出所 232688B5 127045 2016-04-26 14:27:57 在使用 已安装回填


25 柯宣乐 乐清市 乐成派出所 B3349BB5 124188 2016-04-26 14:23:20 在使用 已安装回填


26 柯雪乐 乐清市 乐成派出所 231195B5 123917 2016-03-22 14:31:08 在使用 已安装回填


27 詹秀芬 330321195311244828 瓯海区 三垟派出所 73EA9AB5 127731 2016-04-26 14:25:01 在使用 已安装回填


28 黄柏存 33032319531120241X 乐清市 乐成派出所 931296B5 120813 2016-04-26 14:25:53 在使用 已安装回填


29 何晓珍 330302196512266228 瓯海区 新桥派出所 934E85B5 127447 2016-04-26 14:28:36 在使用 已安装回填


30 邵作贵 瑞安市 塘下派出所 134093B5 127310 2016-04-26 14:28:36 在使用 已安装回填

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞标题:  某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

漏洞证明:

code 区域
http://**.**.**.**/Login.aspx

修复方案:

版权声明:转载请注明来源 0x 80@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 某敏感单位e居卡智能门禁管理系统存在逻辑漏洞可导致用户敏感信息泄露之二(身份证/业主卡号/地址/房东姓名/SIM卡)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址