记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

太平洋保险某系统未授权访问导致信息泄露

2015-05-25 16:55

code 区域
http://tieba.baidu.com/p/3674865898



1.jpg



这里有个网址:

code 区域
http://mcrm.cpic.com.cn/crmweb/addpeople/html5/login.html



2.jpg



去掉最后的路径看看:

code 区域
http://mcrm.cpic.com.cn/crmweb/addpeople/html5/



3.jpg



右下角看到一个文件夹图标,点点看

跑这来了:

code 区域
http://mcrm.cpic.com.cn/crmweb/addpeople/html5/success-inquire.html?empno=



4.jpg



可以查看用户资料。

5.jpg



包括姓名、手机号、生日、身份证等。

最早的记录到2013年7月,可知涉及量很大,只是鼠标转起来太慢,无法确定实际数量

漏洞证明:

同上

修复方案:

访问控制

知识来源: www.wooyun.org/bugs/wooyun-2015-0106642

阅读:174296 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“太平洋保险某系统未授权访问导致信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云