申通快递官网越权查看所有用户电话及地址等信息

编号133349
Urlhttp://www.wooyun.org/bug.php?action=view&id=133349
漏洞状态厂商已经确认
漏洞标题申通快递官网越权查看所有用户电话及地址等信息
漏洞类型未授权访问/权限绕过
厂商申通快递
白帽子路人甲
提交日期2015-08-11 14:54:00
公开日期2015-09-25 20:22:00
修复时间(not set)
确认时间2015-08-11 00:00:00
Confirm Spend0
漏洞标签越权操作 未授权访问
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank20
漏洞简介
泄露用户电话、地址信息
漏洞细节

1、登陆申通快递官网 ->用户中心->地址管理->常用地址

CCE85483-E5BE-4B17-9BCC-81BB47E361C1.png


2、拦截常用地址查询请求 将该位置手机号码修改为其它任意再发起请求

333.png


3、获取到的地址列表

E8MMJUH9)JF9D@983M{T)`C.png

POC

1、登陆申通快递官网 ->用户中心->地址管理->常用地址

CCE85483-E5BE-4B17-9BCC-81BB47E361C1.png


2、拦截常用地址查询请求 将该位置手机号码修改为其它任意再发起请求

333.png


3、获取到的地址列表

E8MMJUH9)JF9D@983M{T)`C.png

修复方案

权限验证

状态信息 2015-08-11: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开
厂商回复谢谢,我们会尽快修复的
回应信息危害等级:高漏洞Rank:20 确认时间:2015-08-11 20:20
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

怎么感觉重复了

牛 小 帅02015-08-11 22:11:00