记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

平安保险某平台未授权访问可造成过大量业务员信息泄露

2014-06-23 00:50

泄露的相关信息:姓名、手机、联系方式及业务代码。业务代码同UM帐号一样是可以作为登录名使用的,存在一定的爆破风险。



地址:

http://sales.pa18.com/



查看网站robots.txt,可看到页面:homepages/selectregion.jsp

n1.gif

通过访问,可选各个地区查询各地业务员(代理人)的详细信息,并且可以按性别哟

n2.gif

粗略查询了下北京上海广州深圳的业务员信息,总共的业务员信息肯定是上万。

n2北京.gif

n2广州.gif

n2上海.gif

n2深圳.gif

漏洞证明:

泄露的相关信息:姓名、手机、联系方式及业务代码。业务代码同UM帐号一样是可以作为登录名使用的,存在一定的爆破风险。

n32.gif

n31.gif

修复方案:


知识来源: www.wooyun.org/bugs/wooyun-2014-065331

阅读:127400 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“平安保险某平台未授权访问可造成过大量业务员信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云