漏洞标题 河北航空的漏洞导致13w个人信息泄露（包括身份证/真实姓名/手机号码/邮箱/家庭住址/航班信息等） 相关制造商 河北航空公司 漏洞作者 过路人 提交时间 2016-04-29 19: 07 公共时间 2016-06-17 10: 30 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 http://m.hbhk.com.cn: 81/new_wap/index.html 下载应用 使用您的帐户登录后，您可以查看该应用程序的功能。其中 会员订单管理，家人和朋友目录管理，邮寄地址管理等。 例如 订单管理界面包含用户名，ID号，手机号和航班信息。来自id的用户数量已达到近13w。 Burpsuite遍历 Burpsuite不是很好看，我们出口和后期处理，更直观。此处仅列出名称ID和手机号码，以及航班的起点和终点。 再看一遍 家人和朋友目录管理（包括用户名和身份证和手机号码） 同样可以用于爆破 最后一个 邮件地址管理，泄漏的东西，很简单，就是地址和手机号码 突发岩上的数据量相对较小 除上述内容外，还将通过修改uid导致用户信息泄露，其他操作。也可以增加操作次数 漏洞证明： 上面的界面，只是遍历最后一个id 以任何用户身份登录。 登录时修改登录包的返回体中的id 例如 您可以登录此帐户。查看帐户信息并继续。 例如 修理计划： 许可控制。使用uid来控制真的太简单了。找一个20R 版权声明：请注明出处。居民A @乌云