最近華住集團信息洩露事件鬧的挺大的,看新聞貌似是抓到販賣數據的人了。於是自己在某漏洞平臺SRC上隨手找了一個酒店類的廠商測試了一下。在此也普及一下有關漏洞的原理,希望能夠對安全從業者很好的防禦此類漏洞。
在站點註冊功能處,需要輸入手機號、姓名、身份證號大量個人隱私信息。
經過測試這裡姓名、身份證可以不用輸入也能註冊,但是如果對於一些對於個人信息保護意識不強的人來說很容易信任該站點,把自己真實的身份信息填寫進去。
這裡我輸入了一個虛假的手機號,和身份信息,後臺未做任何校驗,也沒有向手機號發送驗證碼來校驗,註冊18888888888直接提示註冊成功。
註冊成功之後登陸賬號,訪問自己的資料頁面。
可以看到頁面上對身份證號碼顯示的地方做了 脫敏處理,本來我還想這個開發挺有經驗的…..直到我右鍵查看源代碼之後。
由上圖可以看出,頁面中有一個隱藏的表單,此時完整的身份證號碼就躺在value中,這豈不是掩耳盜鈴?
由於此頁面可以直接看到用戶的姓名、身份證、電話號碼信息,於是我就抓取了數據包想要測試一下是否有水平越權。
在數據包HTTP請求的cookie處,我發現瞭如上圖所示的信息。用戶的信息就在cookie中明文傳輸。
此時使用cookie修改工具,將原本是107318的uid改為 107317
刷新頁面。直接可以越權查看到另外一個人的姓名、身份證、手機號。。。
僅僅是修改一個uid不但可以越權查看個人的資料、酒店訂單、收貨地址、等等全部可以獲取到。。。。。
到這一步我想也沒必要往下測試了, 點了根雪qie陷入了思考之中。
分享到:
閱讀更多 Web安全陪跑團 的文章
