看我如何获取丁丁租房所有租房合同

发表于 2015年07月24日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0128831

漏洞标题：看我如何获取丁丁租房所有租房合同

漏洞详情

披露状态：

2015-07-24: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认，细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-08-25: 厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

之前PC端的被其它白帽披露过（WooYun-2015-112068），今天我们来看一下App端的注：本漏洞涉及丁丁租房所有租户姓名、住址、手机、身份证

详细说明：

1、登录App，点击我的合同，然后burp抓包得到URL，精简URL参数后如下，其中customerId参数值可任意修改http://mbs.zufangzi.com/gms/order/contractApiController/getContractListByCustomer.do?customerId=317134http://mbs.zufangzi.com/gms/order/contractApiController/getContractListByCustomer.do?customerId=318014

2、在App端点击合同详情，抓包查看加载pdf文件所需要的参数（为举例，参数值已做修改）http://mbs.zufangzi.com/gms/ddAZQGY/pdf/contract/20150112/PEK10023456.pdf?contractId=32022&agentId=2233&orderItemId=334455可以看到，要想获取到PDF文件，需要得知pdf路径、contractId、agentId、orderItemId四个信息。第1步中，我们获取了两个用户信息，通过用户信息，提取两个用户合同PDF下载URL如下（contractId其实就是第1步URL显示中的id）http://mbs.zufangzi.com/gms/ddAZQGY/pdf/contract/20150509/PEK10027843.pdf?contractId=30614&agentId=1789&orderItemId=251701http://mbs.zufangzi.com/gms/ddAZQGY/pdf/contract/20150508/PEK10027478.pdf?contractId=30218&agentId=2111&orderItemId=253042通过POST下载，我们即可得到这两位用户PDF文件合同（GET方法无效）

漏洞证明：

过程虽然有点小婉转，但是试想一下如果用程序循环如上URL一遍的话会发生什么？是不是获取到了所有租客的合同？不过，作为一个有节操的乌云白帽，这事咱是不会干滴。

修复方案：

在第一步URL（如下）中加签名验证即可，而不是仅靠用户ID就允许读取http://mbs.zufangzi.com/gms/order/contractApiController/getContractListByCustomer.do?customerId=317134抓紧修复吧，免得被人恶意利用。乌云晚安，丁丁晚安