漏洞详情

披露状态:

2014-09-12: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-10-27: 细节向公众公开

简要描述:

大地保险查询保单时遍历请求id可以获取其他用户信息,包含用户姓名、身份证、手机、住址等敏感信息

详细说明:

登录大地保险网上商城,随便注册一个用户并购买一款产品,不需要支付。
查询购买的保单时,截取请求包,修改请求包中的id(通过遍历获取可用的id),可以查看到其他用户的保单信息。

漏洞证明:

捕获1.JPG


捕获2.JPG


捕获3.JPG


捕获4.JPG

修复方案:

后台添加必要的查询校验

标签: none

评论已关闭