记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中兴某网站工单遍历漏洞可泄露海量用户敏感信息

2015-02-05 21:41

中兴某网站工单遍历漏洞可泄露海量用户敏感信息

漏洞证明:

1.中兴通讯手机售后官网,http://rma.zte.com.cn,用户在该网站注册账户后,提交维修单进行手机售后等一系列服务,在 维修单明细查看 时存在漏洞,可以通过修改维修单号(detailId)查看上万用户信息。

2.

code 区域
http://rma.zte.com.cn/repair/detail.html?detailId=26157



通过修改detailId就能查看所有的维修单信息,里面有维修人的住址和联系电话,姓名等。里面都是最近三月的信息,挺新鲜的,有好几万单。

201.jpg



code 区域
http://rma.zte.com.cn/repair/detail.html?detailId=9997



202.jpg

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-088162

阅读:105115 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“中兴某网站工单遍历漏洞可泄露海量用户敏感信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云