神刀安全网

漏洞标题: APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞详情

披露状态:

2016-03-14: 细节已通知厂商并且等待厂商处理中
2016-03-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

三维度,秉承“互联网生活+”理念,以游戏社交、全球购物、移动金融为核心,打造将互联网和生活紧密融合的生活应用型APP。[1] “互联网生活+”,即融合互联网与生活,打造互联网+购物、互联网+游戏、互联网+社交三位一体的互联网生活平台。在“三维度”APP中,用户可以便捷地全球购物,并通过游戏社交的方式获得各种惊喜并结交朋友。[2]

详细说明:

code 区域
客户端盲打

得到

toplocation : https://112.124.8.165:5887/orders/orders_list.jsp#
cookie : username=tdd152; AgentID=1006; DeviceID=8106

看到 usernam=tdd152

不难想象

192 191 302 false false 223

299 298 302 false false 223

329 328 302 false false 223

343 342 302 false false 223

362 361 302 false false 223

369 368 302 false false 223

375 374 302 false false 223

384 383 302 false false 223

TT三位数字,爆破一下,密码123456的 返回233即可进入

映入我眼帘的是

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

发现他post请求是把用户名带入进去而已

爆破下看看

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

神逻辑。身份证打码了。图片能看到。

code 区域
request payload status error timeout length comment
1 18682130587e 200 false false 2216
11 caojing 200 false false 2393
19 chenbin 200 false false 2583
49 chenjingli 200 false false 2346
52 chenjun 200 false false 2293
54 chenlei 200 false false 2339
56 chenliang 200 false false 2224
57 chenlin 200 false false 2367
62 chenmei 200 false false 2305
65 chenmin 200 false false 2301
66 chenming 200 false false 2437
69 chenping 200 false false 2311
70 chenqi 200 false false 2462
71 chenqiang 200 false false 2246
78 chentao 200 false false 2424
86 chenxia 200 false false 2386
88 chenxiaojuan 200 false false 2358
95 chenyan 200 false false 2308
98 chenyong 200 false false 2321
148 gaofeng 200 false false 2245
151 gaoshang 200 false false 2493
188 hepeng 200 false false 2315
204 huangjuan 200 false false 2327
214 huangwei 200 false false 2216
220 huangyong 200 false false 2445
247 jinyan 200 false false 2375
273 libing 200 false false 2386
280 lifang 200 false false 2277
282 lifeng 200 false false 2195
284 ligang 200 false false 2293

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

http://121.199.10.19:8322/images/authorizeImg/liubin1.jpg

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

还有很多不一一举例了

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

不多说了。还有很多,其他的自测

我这是1千2百多姓名

有的有1万的。。。 可以爆破更多

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

结贴

2000多终端

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

这个签名可以伪造合同啥的。大家懂得。

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

4万 转账记录

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

3万订单信息

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

城里人真TM有钱。。。

7千条风险账户

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

挂机,篡改信息的账户都被查到了

4万条

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

大多都是没数据出来的,其实输入账户名就可以了

例如上面含身份证的用户名都可以看

7万订单,当然这只是冰山一角。更大的还在管理权限更高的管理员上

漏洞标题:  APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞证明:

11

修复方案:

修改密码

版权声明:转载请注明来源 小龙@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮