缺陷编号:wooyun-2016-0222602
漏洞标题:北京现代某平台可越权遍历所有用户上传证件(涉及几百万身份证件/行驶证件/发票/驾驶证等)
相关厂商:beijing-hyundai.com.cn
漏洞作者: 路人甲
提交时间:2016-06-24 09:29
修复时间:2016-06-29 09:34
公开时间:2016-06-29 09:34
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org
漏洞详情
披露状态:
2016-06-24: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
mark
详细说明:
越权链接:
http://zhihuan.xd2sc.com/CarExapp/imagelist.aspx?id=1400012
ID处可遍历
测试了ID从1400000开始一直到5431133都还有数据,几百万的证件信息。
写了个批量脚本,随机找了100个id检测下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
漏洞概要 关注数(24) 关注此漏洞 缺陷编号:wooyun-2011-02844 漏洞标题:利用xss攻击某些ATM 相关厂商:各大银联ATM 漏洞作者: 结界师 提交时间:2011-09-19 1...
1、肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,...
漏洞的怎么找黑客 1、怎么找黑客http。漏洞的24小时接单的申诉方式找回微信号,微软也要学一接单下,切勿相信他们。黑客黑客不是,第二天一早。游戏中也有道德值和阵营,中国ChinaByte网站专黑客接...
针对网友曝出的修改密码漏洞,支付宝方面回应称这一方式仅在特定情况下才会实现。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。 近日,有网友曝出支付宝存在新漏洞——陌生人有五分之一的机会登录...
***的原理和使用其实是很简单的,但问题是我们如何让我们的***能够种植到别人的机器上呢?...
CNNVD编号:CNNVD-201908-1862 危害等级: CVE编号: CVE-2019-15329 漏洞类型: 跨站请求伪造 发布时间: 2019...