记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

可以任意用户身份登录某ETC服务系统及解决方案

2014-12-09 00:46

某ETC服务商网站,具有设计缺陷,用户可以任何以其他用户的身份登录,登录之后可以查询此用户的姓名、身份证、手机、充值、通行、消费记录。某ETC网站,用户没有更改密码的功能,所有用户的密码均为6个1,而用户名是ETC卡的卡号。

卡号是 13011408231302000001 开始的递增的数字, 则任何人都可以用卡号和6个1登录,

可以查询其他人的身份证号码,姓名,通行记录、充值、消费等信息。

 


*****?公路电子?*****
1.://**.**.**//121.28.141.109/JIWSS/index.shtml_
*****??:?*****

1.JPG



用1号用户及密码6个1可以正常登录


 

2.JPG



可以查询1号用户的姓名、身份证号码、手机号码


 

3.JPG



用99号用户及密码6个1可以正常登录


 

4.JPG



可以查询99号用户的姓名、身份证号码、手机号码


 

5.JPG



可以查询99号用户的消费及通行记录


 

6.JPG



随机找了个用户,可以登录,可以查询姓名、身份证号码、手机号码


 

7.JPG



可查询这个用户的通行及消费记录。

 


*****?公路电子?*****
1.://**.**.**//121.28.141.109/JIWSS/index.shtml_
*****??:?*****

解决方案:

1 增加修改用户密码的功能;

2 用户修改密码时要给手机发送验证码;

3 取消卡号登录,让用户设置自己的用户名;
 

知识来源: www.2cto.com/Article/201412/358904.html

阅读:71960 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“可以任意用户身份登录某ETC服务系统及解决方案”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云