某多家政府在用OA存在两个遍历漏洞下载

某多家政府在用OA存在两个遍历漏洞内部文件遍历下载漏洞

鸿信OA在没有登录的情况下可以直接遍历下载完所有的内部文件，比如下图就是遍历出来的某政府网站的一部分问题（不少机密文件啊……还有某些领导的家底信息，怕）

http://oa.jyswdx.com/oa/File.aspx?id=900

直接用迅雷批量可以下下来

再给一个例子：

http://www.dyjwoa.com/File.aspx?id=3100

还有http://61.160.252.80/ 、http://221.226.22.234:8080/ 之类的就不再提供截图。







任意用户用户资料遍历漏洞

某页面存在逻辑验证问题，导致可以直接遍历所有用户的资料信息，信息包括姓名、家庭电话、手机等

http://www.dyjwoa.com/Page/System/UserDetail.aspx?Id=725

http://www.dyjwoa.com/Page/System/UserDetail.aspx?Id=845



http://61.160.252.80/Page/System/UserDetail.aspx?Id=7
可以直接用工具跑，遍历所有的用户：

修复方案：

应该添加响应的身份的验证