缺陷编号:wooyun-2016-0222602
漏洞标题:北京现代某平台可越权遍历所有用户上传证件(涉及几百万身份证件/行驶证件/发票/驾驶证等)
相关厂商:beijing-hyundai.com.cn
漏洞作者: 路人甲
提交时间:2016-06-24 09:29
修复时间:2016-06-29 09:34
公开时间:2016-06-29 09:34
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org
漏洞详情
披露状态:
2016-06-24: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
mark
详细说明:
越权链接:
http://zhihuan.xd2sc.com/CarExapp/imagelist.aspx?id=1400012
ID处可遍历
测试了ID从1400000开始一直到5431133都还有数据,几百万的证件信息。
写了个批量脚本,随机找了100个id检测下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
无锡市公安局7日召开记者招待会,公布了该市警察揭发的全国首起“暗网”平台事件的详情。 在此事件中,男王某在“黑暗网”上制作淫秽网站,散播淫秽物品获利,被警察逮捕时,网站注册会员已达6万多人。 “暗网”...
2020年4月29日,由波兰国家警察(Policja)与欧洲刑警组织,欧洲司法组织和瑞士执法当局合作开展的一项特殊行动,逮捕了一个名为“ InfinityBlack”黑客组织的五名涉嫌成员。 Inf...
黑客教程二:黑客常用攻击手段 世界上不存在完美,由于操作系统、应用软件、通讯协议、数据库系统、管理员配置等总会有一些漏洞(也可能是几者之间的配合有问题),所以黑客可以利用这些漏洞进行攻击。 ...
本周一,索尼影视(SONY Pictures)遭到自称为GOP(Guardians of Peace)的黑客组织攻击,索尼因此被迫关闭了企业的网络。而据最新消息,黑客组织GOP很有可能通过物理接...
CNNVD编号:CNNVD-201908-1862 危害等级: CVE编号: CVE-2019-15329 漏洞类型: 跨站请求伪造 发布时间: 2019...
前言 内网渗透时,获得主机管理员权限后,通常会抓取用户的明文密码或hash,进行pth攻击。 大部分情况会遇到防护软件,常规抓取方法失效,因此需要对防护进行绕过。 Procdump.exe Proc...