项目

一般

简介

优化 #6194

渗透测试-敏感信息泄露

由 宋 姣姣 在 超过 2 年 之前添加. 更新于 超过 2 年 之前.

状态:
待开发
优先级:
紧急
指派给:
-
开始日期:
2023-04-23
计划完成日期:
% 完成:

0%

预期时间:
预计PRD完成时间:
预计PRD开始时间:
实际PRD开始时间:
实际PRD完成时间:
需求设计进度:
0%
预计UI设计开始时间:
预计UI设计结束时间:
实际UI设计开始时间:
实际UI设计结束时间:
UI设计进度:
0%
详细设计开始时间:
详细设计结束时间:
详细设计进度:
预计开发开始时间:
预计开发结束时间:
实际开发开始时间:
实际开发结束时间:
开发进度:
0%
预计测试开始时间:
预计测试结束时间:
实际测试开始时间:
实际测试结束时间:
测试进度:
0%

描述

登录后测试发现,系统多处位置在回包中泄露大量用户的姓名、手机号、身份证号等敏感信息,造成敏感信息泄露,如下以3处位置为例,建议自查。
位置1、系统“用户管理--团队用户”位置在回包中泄露用户名、手机号、身份证号等个人敏感信息: 见附件1
回包中泄露江苏统一本部的所有用户信息:见附件2

位置2、系统“下载导入--车险保单下载日志”位置在回包中泄露大量用户的姓名、手机号/身份证号等个人敏感信息:
当前页面无数据:见附件3
响应数据包中泄露大量用户的姓名、手机号/身份证号:见附件4

位置3、以管理员登录系统:见附件5
回包中泄露约3W条人员姓名及身份证号:见附件6

1.png (81.4 KB) 1.png 宋 姣姣, 2023-04-23 17:31
3.png (104 KB) 3.png 宋 姣姣, 2023-04-23 17:31
2.png (388 KB) 2.png 宋 姣姣, 2023-04-23 17:31
5.png (111 KB) 5.png 宋 姣姣, 2023-04-23 17:31
4.png (307 KB) 4.png 宋 姣姣, 2023-04-23 17:31
6.png (316 KB) 6.png 宋 姣姣, 2023-04-23 17:31

历史记录

#1 由 宋 姣姣 更新于 超过 2 年 之前

  • 指派给宋 姣姣 变更为 匿名用户

导出 Atom PDF