Web安全漏洞实战挖掘之水平越权

最近华住集团信息泄露事件闹的挺大的,看新闻貌似是抓到贩卖数据的人了。于是自己在某漏洞平台SRC上随手找了一个酒店类的厂商测试了一下。在此也普及一下有关漏洞的原理,希望能够对安全从业者很好的防御此类漏洞。

在站点注册功能处,需要输入手机号、姓名、身份证号大量个人隐私信息。

Web安全漏洞实战挖掘之水平越权

经过测试这里姓名、身份证可以不用输入也能注册,但是如果对于一些对于个人信息保护意识不强的人来说很容易信任该站点,把自己真实的身份信息填写进去。

这里我输入了一个虚假的手机号,和身份信息,后台未做任何校验,也没有向手机号发送验证码来校验,注册18888888888直接提示注册成功。

注册成功之后登陆账号,访问自己的资料页面。

Web安全漏洞实战挖掘之水平越权

可以看到页面上对身份证号码显示的地方做了 脱敏处理,本来我还想这个开发挺有经验的…..直到我右键查看源代码之后。

Web安全漏洞实战挖掘之水平越权

由上图可以看出,页面中有一个隐藏的表单,此时完整的身份证号码就躺在value中,这岂不是掩耳盗铃?

由于此页面可以直接看到用户的姓名、身份证、电话号码信息,于是我就抓取了数据包想要测试一下是否有水平越权。

Web安全漏洞实战挖掘之水平越权

在数据包HTTP请求的cookie处,我发现了如上图所示的信息。用户的信息就在cookie中明文传输。

此时使用cookie修改工具,将原本是107318的uid改为 107317

Web安全漏洞实战挖掘之水平越权

刷新页面。直接可以越权查看到另外一个人的姓名、身份证、手机号。。。

Web安全漏洞实战挖掘之水平越权

仅仅是修改一个uid不但可以越权查看个人的资料、酒店订单、收货地址、等等全部可以获取到。。。。。

到这一步我想也没必要往下测试了, 点了根雪qie陷入了思考之中。

Web安全漏洞实战挖掘之水平越权

发表评论

电子邮件地址不会被公开。 必填项已用*标注