破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

汽车网站系列之宝马一处爆破导致6000+姓名手机号码泄露

编号121539
Urlhttp://www.wooyun.org/bug.php?action=view&id=121539
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题汽车网站系列之宝马一处爆破导致6000+姓名手机号码泄露
漏洞类型
厂商宝马
白帽子小龙
提交日期2015-06-19 08:47:00
公开日期2015-08-03 08:48:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签敏感接口未加权限认证 平行权限
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank15
漏洞简介
刷刷存在感
漏洞细节

宝马.jpg

POC

ucb2b.bmw.com.cn


mask 区域
*****o	302	false*****
*****false f*****
*****alse fal*****
*****alse fal*****
*****false f*****
*****2 false *****
***** false f*****
***** false f*****
*****e false 775*****


测试账号密码:

mask 区域
*****/123*****


登陆进去后访问:

mask 区域
1.://**.**.**//ucb2b.bmw.com.cn/TranstarAuctionCar/AuctionCarDetail.aspxid=6666</code>


ID随意更换
再此可以告诉下厂商,如果手机号码和姓名公开的话确定保密吗?还是说用户自己公开就给大众看呢?这里我可以提个建议,就是像淘宝那样搞个联系窗口,不会更好吗

修复方案

1:加个验证码

状态信息 2015-06-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-03: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝漏洞Rank:15 (WooYun评价)
Showing 1-3 of 3 items.
评论内容评论人点赞数评论时间

惨惨

李叫兽就四李叫兽02015-08-03 11:14:00

@DeadSea 送宝马螺丝刀一个给你都不错了。。毛都没看到- -

小龙02015-06-20 06:10:00

送宝马?

DeadSea02015-06-20 05:52:00