58同城简历库资源泄漏,绕过限制查任何人简历资料

漏洞概要

缺陷编号:WooYun-2012-05986

漏洞标题:58同城简历库资源泄漏,绕过限制查任何人简历资料

相关厂商:58同城

漏洞作者:mibboy

提交时间:2012-04-12 19:03

公开时间:2012-04-13 18:03

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2012-04-12: 细节已通知厂商并且等待厂商处理中
2012-04-12: 厂商已查看当前漏洞内容,细节仅向厂商公开
2012-04-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

对权限的控制和验证不足导致任意用户简历泄漏,可进行批量采集某行业人才信息。。。

详细说明:

58上的企业要看求职者简历有限制,好像现在免费能下载20条,但超了就要充钱才能看。。。此问题就是绕过这个限制。对权限的控制和验证不足导致任意用户简历泄漏,可进行批量采集某行业人才信息。对一些需要做生意的人这些资源非常不错。

漏洞证明:

随意找个简历http://jianli.58.com/showresumeinfo/?rid=58144049163777。

普通注册企业会员想要看联系方式需要充钱才行。。。。或者有下载限制。但是这个漏洞可以突破下载限制,甚至无需注册企业会员。但这样http://jianli.58.com/outsendresume/?rid=58144049163777就能随意发送到指定邮箱

修复方案:

不解释,你懂的

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-13 18:03

厂商回复:

验证了下漏洞,不存在此漏洞,欢迎同学报告58的安全问题。也感谢大家的关注。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 SZn 白帽子 | Rank:8 漏洞数:3)

    哥的隐私啊!

  2. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    社 人 必 备 !经典

  3. 2010-01-01 00:00 leehenwu 白帽子 | Rank:194 漏洞数:24)

    嘿嘿

  4. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    这... WooYun: 58同城简历库资源泄漏,绕过限制查任何人简历资料 @xsser 验证了么,标题什么都一样。。。擦

  5. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye 额 我看的时候还没补,去吐槽58吧...

  6. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @xsser 帮吐,@piaoye 放了工具,爆它菊

  7. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye @一刀终情 为了考虑两位的感受,这周出来功能,白帽子可以吐槽白帽子,白帽子也可以吐槽厂商了 嘿嘿,敬请期待

  8. 2010-01-01 00:00 三叶草 白帽子 | Rank:14 漏洞数:5)

    @xsser 另求能看到自己发的私信功能...

  9. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @xsser 期待中~~说实话,我以前蛮喜欢看CB的评论的,哈哈

  10. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    @xsser 我是说这个人提交的完全是照我发的抄的啊。。这也行么?

  11. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye 不是抄袭你的,我验证的时候看到厂商并未修复,后来再看你的

  12. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    还有这bug早已经修复。

  13. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye 他的图和你的完全不一样,你确认什么时候修复的?现在已经不行了

  14. 2010-01-01 00:00 mibboy 白帽子 | Rank:13 漏洞数:3)

    @piaoye 不好意思,我发的时候没看到哈、是一个朋友发给我的、再说漏洞也没修复嘛,顺便骗个邀请码,何乐而不为呢?

  15. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    @xsser 58确认的时候已经修复了、

  16. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    @mibboy 好吧,那你也不能照抄啊。。。标题和简介啥的

  17. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye 我也有责任,没有把之前的看一下 抱歉

  18. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    @xsser 客气了,我又没损失什么,借这个提下乌云的验证机制是否需要完善下。总不能让厂商为难吧

  19. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye 如果厂商积极点反馈就好了

  20. 2010-01-01 00:00 piaoye 白帽子 | Rank:284 漏洞数:43)

    @xsser 建议给厂商进行收费,类似会员制。费用用于系统完善。

  21. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @piaoye 愿望很美好,现实很艰难

  22. 2010-01-01 00:00 itleaf 白帽子 | Rank:122 漏洞数:15)

    @xsser 我觉得公布漏洞没得到厂商或者其它的太大奖励,这个平台还是不成功的,小礼品都不是事。

  23. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @itleaf 我们尽量努力吧,今年一定有不一样的东西出来,拭目以待

  24. 2010-01-01 00:00 mibboy 白帽子 | Rank:13 漏洞数:3)

    @piaoye 我是直接复制朋友发来的放上去,我也不知道这个漏洞你已经发过了、而且他不修复也没办法啊······

  25. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @piaoye @xsser 我也觉得厂商应该贡献点费用~~当然这个平台要独立,所有厂商类似捐款形式,自愿,自发的资助点才好