微慑信息网

Uber网站存 IDOR 漏洞导致用户敏感信息泄露

Uber 门户网站 UberCENTRAL 模块存在一系列漏漏,可能泄露用户姓名、电话号码、电子邮件地址、以及所有 Uber 用户的唯一ID。

漏洞赏金“猎人” Kevin Roh 发现这些漏洞都是由于一个不安全的直接对象引用 (IDOR)导致的。在 9 月初发现了第一个 bug,允许他以管理员身份通过 POST 请求用电子邮件枚举用户 UUID 。

%e5%b1%8f%e5%b9%95%e5%bf%ab%e7%85%a7-2016-11-25-17-37-42

在 10 月他发现可以使用类似的方法,通过 GET 请求枚举 UUID。在 10 月下旬,他发现可以让系统输出姓名、电话号码和电子邮件地址。

目前,还不清楚 Kevin Roh 通过这个三个不安全的直接对象引用漏洞获得多少赏金,但从历史上看每个漏洞的赏金应该在 500 至 1000 美元之间。

本周三 Uber 发言称,漏洞已经被修复,没有用户受到影响。

稿源:本站翻译整理,封面来源:百度搜索

 

from hackernews.cc.thanks for it.

本文标题:Uber网站存 IDOR 漏洞导致用户敏感信息泄露
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2016/1125_211.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Uber网站存 IDOR 漏洞导致用户敏感信息泄露
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们