某ETC服务商网站,具有设计缺陷,用户可以任何以其他用户的身份登录,登录之后可以查询此用户的姓名、身份证、手机、充值、通行、消费记录。某ETC网站,用户没有更改密码的功能,所有用户的密码均为6个1,而用户名是ETC卡的卡号。

卡号是 13011408231302000001 开始的递增的数字, 则任何人都可以用卡号和6个1登录,

可以查询其他人的身份证号码,姓名,通行记录、充值、消费等信息。

 

*****?公路电子?***** 1.://**.**.**//121.28.141.109/JIWSS/index.shtml_ *****??:?*****

1.JPG



用1号用户及密码6个1可以正常登录


 

2.JPG



可以查询1号用户的姓名、身份证号码、手机号码


 

3.JPG



用99号用户及密码6个1可以正常登录


 

4.JPG



可以查询99号用户的姓名、身份证号码、手机号码


 

5.JPG



可以查询99号用户的消费及通行记录


 

6.JPG



随机找了个用户,可以登录,可以查询姓名、身份证号码、手机号码


 

7.JPG



可查询这个用户的通行及消费记录。

 

*****?公路电子?***** 1.://**.**.**//121.28.141.109/JIWSS/index.shtml_ *****??:?***** 解决方案:

1 增加修改用户密码的功能;

2 用户修改密码时要给手机发送验证码;

3 取消卡号登录,让用户设置自己的用户名;