缺陷编号：wooyun-2016-0222602

漏洞标题：北京现代某平台可越权遍历所有用户上传证件（涉及几百万身份证件/行驶证件/发票/驾驶证等）

相关厂商：beijing-hyundai.com.cn

漏洞作者： 路人甲

提交时间：2016-06-24 09:29

修复时间：2016-06-29 09:34

公开时间：2016-06-29 09:34

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

漏洞详情

披露状态：

2016-06-24： 细节已通知厂商并且等待厂商处理中

2016-06-24： 厂商已查看当前漏洞内容,细节仅向厂商公开

2016-06-29： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

mark

详细说明：

越权链接：

http://zhihuan.xd2sc.com/CarExapp/imagelist.aspx?id=1400012

ID处可遍历

测试了ID从1400000开始一直到5431133都还有数据，几百万的证件信息。

写了个批量脚本，随机找了100个id检测下

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18