因担心再次被利用,下面是粗略过程,暂不公布详细的过程。
1、打开该医院的微信公众号,底部进入检查检验:
2EDB8006-2A05-4583-A[20250925-124817].png (251.04 KB, 下载次数: 0)
下载附件
2025-9-25 12:57 上传
2、进入我自己的CT报告,然后通过手机自带浏览器打开,使用自带浏览器打开后,就能得到自己CT报告的网址了,http://yjp.*****.com:90**/viewer?url=http://yjp.*****.com:90**/readonly/3036c***d8db0c1a.json(部分关键用*号代替)看到这串网址之后,我想后面的网址可能是内部映射出来的。
3、我便将这个网址粘贴到浏览器,再打开,结果发现能看到所有患者的key,也就是上面蓝色部分(见下图),数量是成千上万个,拉不到底,每天都有最新的实时数据。
然后我将的数据替换成我的检查报告的地址,发现就能看到此患者的CT报告信息,信息里包含了姓名,住址,电话,年龄,患病信息(见下下图)等等详细信息。
于是我和卫健委报告了此情况,随后医院的信息科打来了一个感谢电话!然后过了几天,我再次进入查看才知道漏洞已经修复了。
End~!
B1CD08FB-A40C-4005-A0E3-64E9067EAEC2-44508-000007B57808EF1D.png.JPG (149.19 KB, 下载次数: 1)
下载附件
2025-9-25 13:08 上传
53F22B1A-92C5-4522-919F-01B1A922E2C0-44508-000007B66486C52F.png.JPG (107.5 KB, 下载次数: 1)
下载附件
2025-9-25 13:14 上传
