freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

挖洞经验 | 看我如何获取到200万份Verizon用户的月付账单信息
2019-10-16 13:00:15

本文讲述了作者通过一个简单的安全漏洞,最终可以访问获取到Verizon无线公司将近200万份的用户月支付账单,账单中包含了用户姓名、家庭地址、手机号码、移动设备型号序列号以及用户签名等敏感信息。

Verizon无线公司(Verizon Wireless)是2000年Verizon公司与沃达丰通讯公司在美国的无线业务合并而成,前者持股55%,后者持股45%。Verizon Wireless原为美国第二大移动运营商,从Atlantis Holdings LLC手中收购Alltel后,Verizon Wireless移动用户数为8370万,超越AT&T Wireless成为美国移动通信新霸主。

漏洞发现

在对Verizon的测试过程中,经过一系列的探测侦查,我发现子域名telestore.verizonwireless.com有点意思,它用于Verizon无线公司内部员工访问销售终端(POS)工具并了解顾客相关信息的网站。利用Google查询语法,我在其网站上找到了一些Verizon员工内部使用的路径信息,然后想用dirsearch对相关目录进行一些暴力枚举。

此外,我还在上面发现了Verizon无线公司顾客月支付账单的PDF查看路径,但请求总是会返回一个404资源未找到的状态码,于是,我利用GET请求方式对其请求枚举,发现了其中涉及的一个a参数和m参数。之后,综合dirsearch的运行结果,我发现了一个奇怪的路径,经过简单构造,就可在该路径下使我们的会话有效。

绕过身份验证

也就是说,现在我们是通过验证的合法用户了,可以继续浏览访问一些telestore.verizonwireless.com上的原始路径了,但是当我向前浏览时,却被跳转到了一个包含特定手机号码和合同号的对应页面,而且该页面与Cookie或其它Session条件无关,以下就是该页面截图,尽管合同号(Agreement)下只包含一名用户,但它看似为一个客户订单管理系统:

虽然在当前页面下我们无法更改其中的合同号或手机号,但却可以点击合同号(Agreement Number),然后把它显示成之前我们说过的PDF格式,该PDF显示路径中就包含我们之前枚举出的a参数和m参数。这里的a参数,我首先想到的,它会不会是agreement的意思,所以我就想看看是否存在越权漏洞(IDOR),但之后我想应该不会存在这种问题吧,要不然怎么会存在两个参数呢,可能a参数必须与m参数匹配才行。

但是,之后的测试证明我的想法是错的,往往可导致大问题的一般都是一些低级愚蠢的小错误。真相是:仅仅只通过修改a参数,就能实现查看其它顾客合同账单的PDF文件档案,其中包括了以下的顾客相关个人信息:

顾客姓名

家庭地址

手机号码

手机型号、序列号

顾客签名

以下就是合同账单的PDF文件信息:

经进一步检查分析,我发现可以查看的合同号最小为1310000000,最大为1311999999,也就是说将近有200万顾客的月付账单可以通过上述方法被查看到,当然其中包括的顾客个人敏感信息也因此存在泄露风险!

漏洞上报处理进程

2019.6.16  通过Verizon企业安全响应团队VECIRT上报漏洞

2019.7.15  漏洞修复

2019.9.9   漏洞披露

*参考来源:daleys,clouds编译整理,转载请注明来自FreeBuf.COM


# Verizon # 挖洞经验 # 月付账单
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者