缺陷编号:wooyun-2016-0222602
漏洞标题:北京现代某平台可越权遍历所有用户上传证件(涉及几百万身份证件/行驶证件/发票/驾驶证等)
相关厂商:beijing-hyundai.com.cn
漏洞作者: 路人甲
提交时间:2016-06-24 09:29
修复时间:2016-06-29 09:34
公开时间:2016-06-29 09:34
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org
漏洞详情
披露状态:
2016-06-24: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
mark
详细说明:
越权链接:
http://zhihuan.xd2sc.com/CarExapp/imagelist.aspx?id=1400012
ID处可遍历
测试了ID从1400000开始一直到5431133都还有数据,几百万的证件信息。
写了个批量脚本,随机找了100个id检测下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
根据最新的消息,微软Windows10 2020正式版已经正式发布了,目前只有开发者用户才可以下载到通过MSDN下载到 ISO镜像文件。对于普通用户而言还无法进行Windows10的更新,只有等到5月...
信息化时代,现在基本上是每人都拥有一台手机,现实中,可能你会收到某个亲戚的短信或电话,来电是显示“亲人”名字,然而你仔细看看号码,这并不是你亲友手机号码,这是怎么回事呢?近日,国内知名黑客安全组织...
最近温度逐渐回升,但是不少宝宝却开始流清鼻涕,其实是孩子的肺脏并没有发育成熟,非常娇嫩,在这早晚温差较大的季节,孩子很容易出现流清鼻涕的情况。宝宝流清鼻涕怎么推拿,孩子流清鼻涕按摩哪个位置好呢。 宝...
“本文转自雷锋网,原文标题: 《八问:通过微信小程序,黑客有可能盗走你的红包吗? | 宅客频道》作者:史中,文章转载已获授权。” 原文链接地址: http://www.leiphone....
很多家庭喜欢吃水煮鱼,不过鱼不麻不辣怎么好吃呢,大家应该很喜欢吃鱼吧,小编为大家推荐一款很好吃的菜:麻辣水煮鱼。 准备食材 主料:草鱼一条(我的2斤)普通辣椒、朝天椒朝天椒可有可无,朝天椒可以增加...
本文主要介绍的是金鹰核心资源混合基金净值、210009历史基金净值、基金成立日期、基金的管理费率、托管费率、风险等级等基本内容介绍! 金鹰核心资源混合210009基金净值(2019年09月09日) 净...