[公开漏洞]易车网某站跨站导致大量用户数据泄露（大数据系列300万）

易车网某站跨站导致大量用户数据泄露（大数据系列300万） 相关厂商： 易车 漏洞作者：小威 提交时间：2014-04-26 17:40 公开时间：2014-05-01 17:41 漏洞类型：用户资料大量泄漏 危害等级：高 自评Rank：20 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： 用户敏感信息泄漏 用户敏感数据泄漏 漏洞详情 披露状态：

2014-04-26：细节已通知厂商并且等待厂商处理中
2014-05-01：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT- 求不忽略~

详细说明：

接上一个： WooYun: 易车网盲打管理及任意用户

易车网盲打管理及任意用户 （忽略漏洞的一天后...）



http://cms.baa.bitautotech.com 管理后台



用得到的热乎的cookies登录之~

下面直接证明...

漏洞证明：

1.来看看有多少条数据：大约165000页×20条/页=330000条≈300万

这300多万是注册用户，其中认证审核通过（也就是论坛发帖炫车而后实名+手机+邮箱+家庭地址全套）的车主为39400个~

而其中又有些资料更为齐全（包括工作单位）的“专家”数量则为2072个

----------为保护涉及内容隐私，全部打码，数据一条未动~--------------

修复方案：

求不忽略~

版权声明：转载请注明来源 小威@乌云 漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-04-26 17:40

厂商回复：

最新状态：

暂无