漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
上一弹:
http://www.wooyun.org/bugs/wooyun-2015-099583
这次不用 SQL 注入, 直接获得任何车主的证件信息, 任意乘客的地理位置, 姓名, 照片, 性别, 电话, 邮箱....
这要是被猎头利用了....
详细说明:
App 调用的很多 api 设计有缺陷, 在很多 api 中看到用户的详细信息
比如获得用户的详细信息
http://211.151.134.220:9010/V3/User/getUserSimpleInfo
比如获得附近的拼单
http://211.151.134.220:9010/V3/BookingDriver/getNearbyBookingRideList
举例的这两个 api 构成一个完整的穷举链条
通过手动设置任何经纬度的拼单列表 /BookingDriver/getNearbyBookingRideList, 我们可以获得 任意地点的 user 的 id (user_cid) , 通过 /User/getUserSimpleInfo 可以查看详细的用户信息.
POST 的 parameter 中 vkey 的逻辑可以很简单的逆向获得.
比如 ts 获得时间戳 20150312005446
vkey 的生成逻辑是:
MD5计算(MD5计算('BOOKING_APP'+'20150312005446').大写()+'kx123456789012345678901234567890').大写()
其他比如 token, user_cid 也很简单的可以登录获得.
漏洞证明:
比如上一弹中的 469c6750-4ba2-49ce-8baa-43e8640229ac
行驶证什么不直接证明了
简单的 EXP (需要你自己提供登录后的 token 和 user_cid)
http://pastie.org/10019970
修复方案:
版权声明:转载请注明来源 路人甲@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-03-17 10:44
厂商回复:
最新状态:
暂无