[公开漏洞]某社交APP接口设计不当导致可遍历用户信息（泄漏妹子位置信息）

某社交APP接口设计不当导致可遍历用户信息（泄漏妹子位置信息） 相关厂商： ddy.me 漏洞作者：Behemoth 提交时间：2014-04-03 11:20 公开时间：2014-06-29 11:21 漏洞类型：设计缺陷/逻辑错误 危害等级：高 自评Rank：15 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： 无 漏洞详情 披露状态：

2014-04-03：细节已通知厂商并且等待厂商处理中
2014-04-08：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-04-15：细节向核心白帽子及相关领域专家公开
2014-04-25：细节向普通白帽子公开
2014-05-15：细节向实习白帽子公开
2014-06-29：细节向公众公开

简要描述：

某社交APP接口设计不当导致可遍历用户信息

详细说明：

http://sdk3.doudouy.com/api/users/1

用户信息查询接口设计不当，可通过篡改users后的数字遍历用户信息，用户名、手机号、地址等

里面还包括用户登录时的经纬度，可以准确定位妹子所在的位置！

漏洞证明：

http://sdk3.doudouy.com/api/users/1

用户信息查询接口设计不当，可通过篡改users后的数字遍历用户信息，用户名、手机号、地址等

里面还包括用户登录时的经纬度，可以准确定位妹子所在的位置！

修复方案：

你懂得！

版权声明：转载请注明来源 Behemoth@乌云 漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-04-08 11:21

厂商回复：

最新状态：

暂无