发现办公大楼的门禁鉴权系统有严重问题,只需要提交用户 id 就能获取权限,我要如果做?

2020-07-13 12:57:57 +08:00
 slime7

背景

前不久刚入职一家小公司,办公室是租的那种,有个大楼的 app 可以打开各楼层的玻璃门和办公室的门( app 展示一个二维码让门旁边的摄像头扫描,还有些其他功能)。但是这个 app,我的安卓 10 打开就闪退,我没法用,所以财务姐姐给我我一张 nfc 的门禁卡代替。

折腾

端午放假的时候我掏出旧手机,安装了那个 app,想抓包看看能不能自己抓取二维码显示在不能用的那个手机上。

一抓就发现这个 app 其实是个经典浏览器套壳 app,我就直接打开展示门禁二维码那个页面看他获取二维码的过程。

我很惊讶地发现他获取二维码只提交了加密的 uid 和加密用的 key,而刚注册的我,uid 才排到 300 多,说明用户人数不是特别多。

我又看了个人信息的代码,也是用 uid 请求获取的,也就是说我凭 uid 就能获取个人信息,其中包含手机号和身份证号。

~~我试着用我的 uid-1 的 uid,能获取到别人信息~~

疑问

这个 app 请求的 api 用的域名是"ofstudio.com 果壳设计"的。我估计他们看不到这个工单,所以主要是想问问这种情况怎么处理,是找大楼物业么?这个 app 应该是属于外包,如果物业解决不了我怎么办?我不想别人也发现这个问题然后获取我的信息。

1605 次点击
所在节点    全球工单系统
5 条回复
dingwen07
2020-07-13 13:04:02 +08:00
黑帽行为:请求所有 UID,把敏感数据打码公布出来引起重视
chuziyv
2020-07-14 01:52:12 +08:00
建议找个漏洞提交平台提交上去,顺便带一部分脱敏的数据信息,@厂商 进行解决
jQE2EiL
2020-07-14 15:53:58 +08:00
解决个毛 当然是开个 shortcut 然后方便自己啊
slime7
2020-07-14 18:10:15 +08:00
@jQE2EiL
这个不解决如果别人也发现了我的信息也要泄露呀。
自己已经方便到了(
wangbudong
2020-07-15 14:35:05 +08:00
自增 uid 还这么用也是神了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/689538

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX