记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

人保财险某系统越权查看大量保单信息

2016-07-02 00:35

code 区域
http://www.epicc.com.cn/ecargo/



code 区域
账号:

mask 区域
*****PG*****

*****SZHPG*****





保单查询入口

dd3.JPG



dd4.JPG



dd5.JPG





dd9.JPG







漏洞证明:

抓包得到



code 区域

mask 区域
*****go/insure!insureI*****

*****picc.c*****

***** keep-*****

*****ength*****

*****ol: ma*****

*****,application/xml;q=0*****

*****www.epic*****

*****ure-Req*****

*****bKit/537.36 (KHTML, like Gec*****

*****on/x-www-for*****

*****argo/insureQuery!c*****

*****: gzip, *****

*****: zh-CN,*****

*****0.130.67.33.1463122805199044; JSESSIONID=h371X12Hzm2F0ncwDlTWBVFmChhsLw1nT22HHwSPZVY*****

**********

*****cyID=2*****





freightPolicyID从10000000开始



dd6.JPG



dd7.JPG



dd8.JPG





修复方案:

rt


知识来源: www.wooyun.org/bugs/wooyun-2016-0208260

阅读:205346 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“人保财险某系统越权查看大量保单信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云