神州租车的数据安全问题[续](secure problem of ZuChe.com [End])
Posted
前文:神州租车的数据安全问题(secure problem of ZuChe.com)
说实话我还有傻乎乎的担心了一下我这么写出来会不会被社会报复的问题,后来想了想,本为无名小卒,何足大家挂齿,更何况我也不在国内,难不成还引渡么?(扯远了。。。)。遂继续写写,说说我对神州这个泄漏的一点看法。
这个leak的根源是:万能钥匙的问题(当然我才疏学浅,不知道这么说对不对),就是一把钥匙可以开N把锁;换言之,就是越权的问题。
在这里,仅仅通过用户ID(钥匙),就可以得到这个用户的全部订单信息(锁A),本身就是很危险的(但其实很多很多service,都有一样的问题,不一一列举)
而这里更过分的是不仅仅有订单信息,还有用户敏感信息(锁B),如身份证/手机号码/住宅地址等;
当然如果你觉得这就是结束,那就高估这不给力的service了。
神州还有一个本身逻辑存在严重缺陷的设计:通过用户ID+身份证+新密码 即可修改掉用户原有密码(而且貌似是不会通知用户的 T_T)。
而神州是有推出过VIP充值服务的(额,尽管有很多负面报道),所以这意味着,你可以改掉某个VIP的密码,然后免费租车。。。(什么?你说驾照要复印?你开玩笑的吧,这种hack就像小时候学家长签字一样,毫无技术含量啊。。。)
当我看到这里的时候我开始有点担心这设计者的前途了,万一被别人知道就是你设计出来这么渣的系统。。。唉。。。你以后怎么办啊。。。
好吧,换个角度,其实可以发起一次这样的数据扫描+毁灭性打击:
-
遍历所有的用户id(你累加id就好了,目测神州用户不超过300W,额,目测,别问我怎么知道的。。。),可以得到所有的用户身份信息(而且基本都是真实靠谱可用的) == 数据扫描,done;该干嘛干嘛。。。
-
遍历修改所有用户的密码(ID+身份证+新密码) == 打击,done;神州彻底废了。。。
对于神州来说,针对这个问题,改动其实会很大,原因是这涉及到应用架构的改变,换言之,要彻底改掉这个问题,神州需要要求所有的用户进行至少一次APP升级,而其内部进行若干次service升级。
OK,就这样吧。给神州一点时间好好修改,毕竟是打算上市的公司,给点后路。
具体到代码层面的东西明眼人都明白,太细的就不说了。
另外这次神州中枪完全是我个人一时好奇,绝无针对性和恶意(我甚至还用神州租过车,唉,悔不当初)。
后来我又顺路去看了看一嗨和安飞士(这两个名字都是哪路神仙想出来的。。?)也有问题,但是相比较神州,轻微很多,以后再表。
BTW,如果神州愿意出点小钱让我帮忙改改,OY~ 我是会考虑的~ 哈哈哈~