V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
slime7
V2EX  ›  全球工单系统

发现办公大楼的门禁鉴权系统有严重问题,只需要提交用户 id 就能获取权限,我要如果做?

  •  
  •   slime7 · 2020-07-13 12:57:57 +08:00 · 1592 次点击
    这是一个创建于 1580 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景

    前不久刚入职一家小公司,办公室是租的那种,有个大楼的 app 可以打开各楼层的玻璃门和办公室的门( app 展示一个二维码让门旁边的摄像头扫描,还有些其他功能)。但是这个 app,我的安卓 10 打开就闪退,我没法用,所以财务姐姐给我我一张 nfc 的门禁卡代替。

    折腾

    端午放假的时候我掏出旧手机,安装了那个 app,想抓包看看能不能自己抓取二维码显示在不能用的那个手机上。

    一抓就发现这个 app 其实是个经典浏览器套壳 app,我就直接打开展示门禁二维码那个页面看他获取二维码的过程。

    我很惊讶地发现他获取二维码只提交了加密的 uid 和加密用的 key,而刚注册的我,uid 才排到 300 多,说明用户人数不是特别多。

    我又看了个人信息的代码,也是用 uid 请求获取的,也就是说我凭 uid 就能获取个人信息,其中包含手机号和身份证号。

    ~~我试着用我的 uid-1 的 uid,能获取到别人信息~~

    疑问

    这个 app 请求的 api 用的域名是"ofstudio.com 果壳设计"的。我估计他们看不到这个工单,所以主要是想问问这种情况怎么处理,是找大楼物业么?这个 app 应该是属于外包,如果物业解决不了我怎么办?我不想别人也发现这个问题然后获取我的信息。

    5 条回复    2020-07-15 14:35:05 +08:00
    dingwen07
        1
    dingwen07  
       2020-07-13 13:04:02 +08:00 via iPhone
    黑帽行为:请求所有 UID,把敏感数据打码公布出来引起重视
    chuziyv
        2
    chuziyv  
       2020-07-14 01:52:12 +08:00   ❤️ 1
    建议找个漏洞提交平台提交上去,顺便带一部分脱敏的数据信息,@厂商 进行解决
    jQE2EiL
        3
    jQE2EiL  
       2020-07-14 15:53:58 +08:00
    解决个毛 当然是开个 shortcut 然后方便自己啊
    slime7
        4
    slime7  
    OP
       2020-07-14 18:10:15 +08:00
    @jQE2EiL
    这个不解决如果别人也发现了我的信息也要泄露呀。
    自己已经方便到了(
    wangbudong
        5
    wangbudong  
       2020-07-15 14:35:05 +08:00
    自增 uid 还这么用也是神了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1039 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:08 · PVG 07:08 · LAX 15:08 · JFK 18:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.