记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国移动某业务管理系统越权查看大量企业相关信息(企业营业执照+法人身份证+银行开户许可证+税务登记证+合作策划书)

2016-06-26 21:55

http://**.**.**.**/si/portal/loginPortal.jsp

申请si账户,无验证,任意申请

申请账号登陆

系统内部任意资质申请处上传合法文件,上传成功后点击文件获取下载链接

1.png





下载链接:

http://**.**.**.**/server/spreq/attachment!download.action?attachFileId=801100014456&ticket=08D85582CDC51979AC0A30B72167655C&domain=si

修改下载链接中attachFileId参数,即可下载他人申请时包含的附件信息

2.png



身份证信息:

3.png



营业执照:

4.png



银行开户许可证

1.jpg



税务登记证

5.png



合作策划书

6.png



漏洞证明:

4.png



1.jpg



3.png

修复方案:

移动更专业

知识来源: www.wooyun.org/bugs/wooyun-2016-0206862

阅读:116382 | 评论:0 | 标签:移动

想收藏或者和大家分享这篇好文章→复制链接地址

“中国移动某业务管理系统越权查看大量企业相关信息(企业营业执照+法人身份证+银行开户许可证+税务登记证+合作策划书)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词