国家某部所属信息安全等级保护网权限绕过

漏洞 作者:Chloe
2015-05-17 264
漏洞标题 国家某部所属信息安全等级保护网权限绕过
相关厂商 国家某部
漏洞作者 zmx
提交时间 2012-05-08 14:46
公开时间 2012-06-22 14:47
漏洞类型 未授权访问/权限绕过
危害等级
自评Rank 7
漏洞状态 已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签 敏感接口未加权限认证,平行权限,敏感应用缺乏认证,应用程序设计不当

漏洞详情

信息安全等级保护网未对权限进行严格验证,可查看其他考生的姓名、照片、身份证号、工作单位等。

http://dbpx.djbh.net/Learningspace/test/student/zkz_print.asp?studentid=xxx&TestID=xxx,修改studentid和TestID,即可查看其他考生的准考证信息

漏洞证明:

修复方案:

进行权限验证

版权声明:转载请注明来源 zmx@乌云

Tags:

评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38566 积分: 0

关注我们

合作伙伴